Telephonie VoIP hakin9 07 2010.pdf
-
Upload
papematarsarr -
Category
Documents
-
view
256 -
download
4
Transcript of Telephonie VoIP hakin9 07 2010.pdf
formations
Rentreacutee 2010 les incontournables
formaformaformationstionstionstionstionstionsamp Certification professionnelle
Renseignements amp Inscriptions bull Teacutel 0821 20 25 00 (prix drsquoun appel local)
bull infoglobalknowledgefr
Teacuteleacutechargez le catalogue complet sur
wwwglobalknowledgefr
Global Knowledge France - Siegravege social - Tour Albert 1er - 65 avenue de Colmar - 92507 Rueil-Malmaison cedex - Teacutel 01 78 15 34 00 - Fax 01 78 15 33 90 copy 2010 Global Knowledge Training LLC
Gestion de projet PMI Prince 2bull Introduction au management de projetsbull La gestion des projets informatiques (IT)bull PMP Bootcamp Preacuteparation agrave la certificationbull Prince 2 Foundation
Gouvernance amp Management Informatiquebull La gouvernance et performance des Systegravemes drsquoinformationbull Les tableaux de bord de la performance informatiquebull Rentabiliteacute et valeur ajouteacutee des investissements informatiquesbull Cobit Foundation et la gouvernance des SIbull ITIL v3 Foundationbull Le cas Wall Street simulation sur ITIL v3 et ISO 20000 bull ISOIEC 20000 Foundationbull ISOIEC 27002 Foundationbull Maicirctriser et accompagner les changementsbull Deacutevelopper le leadership et les qualiteacutes de pilotage des managersbull Devenez manager coach de votre eacutequipe
Formations eacuteligibles au DIF | Support de cours remis agrave chaque participant
Les Essentiels Reacuteseaux Virtualisation Voix Seacutecuriteacute
bull Les reacuteseaux architectures mise en oeuvre et perspectives bull Enjeux et solutions drsquoun environnement virtuel bull Voix sur IP les fondamentaux bull La VoIP seacutecuriseacutee bull Les fondamentaux de la seacutecuriteacute informatiquebull CISSP Preacuteparation agrave la Certification bull Hacking Defined Advanced se proteacuteger contre les agressions du SI
Reacuteseaux Ciscobull Interconnecting Cisco Network Devices Part 1 (ICND1)bull Implementing Cisco IP Routing (ROUTE) nouveaubull Implementing Cisco IP Switched Networks (SWITCH) nouveaubull Troubleshooting amp Maintaining Cisco IP Networks (TSHOOT) nouveaubull Configurer BGP sur des routeurs Cisco (BGP)bull Cisco IPV6 Concepts Design et Deacuteploiement (IPV6)bull Implementing Cisco MPLS (MPLS)bull Mettre en oeuvre une infrastructure Cisco MultiCast (ICMI) nouveaubull Mettre en oeuvre CiscoWorks LMS (CWLMS)bull Mettre en oeuvre la seacutecuriteacute des reacuteseaux IOS Cisco (IINS)bull Seacutecuriser les reacuteseaux avec des routeurs et switches Cisco (SNRS)bull Les fondamentaux de la seacutecuriteacute des reacuteseaux avec Cisco ASA (SNAF)bull Cisco Wireless Lan Fundamentals (CWLF)bull Mettre en oeuvre Cisco IOS Unified Communications (IIUC)bull Cisco La Voix sur IP version 60 (CVOICEV6)bull Mettre en oeuvre la Qos Cisco (QOS)bull Cisco IP Telephony Part 1 version 6 (CIPT1V6)bull Data Center Network Infrastructure (DCNI-1)
Plus de 350 formations agreacuteeacutees par les eacutediteurs et constructeurs et 4000 sessions deacutelivreacutees par an font de Global Knowledge un organisme de formation reacutefeacuterent en informatique en management des Systegravemes drsquoInformation et gestion de projets IT
Virtualisation VMware Microsoft amp Citrix bull VMware Whatrsquos New vSphere 4 (mise agrave jour des connaissances) bull VMware vSphere 4 installation configuration et administration bull VMware View installation configuration et administration bull VMware vSphere 4 Troubleshooting nouveaubull VMware vSphere 4 Design nouveau
bull Mettre en oeuvre la virtualisation sous Windows 2008 (Hyper-V)bull Administrer les postes de travail avec MDOP bull Deacuteployer et administrer System Center Virtual Machine Managerbull Planifier deacuteployer et geacuterer System Center Configuration Manager bull Mettre en oeuvre et geacuterer System Center Operations Manager 2007
bull Mettre en oeuvre Citrix XenApp 5 pour Windows Server 2008bull Citrix Desktop Infrastructure geacuterer XenServer XenDesktop et Provisioning Serverbull Mettre en oeuvre une solution de virtualisation avec Citrix nouveau
ClientServeurMessagerie Microsoftbull Installation et configuration du client Windows 7 bull Planifier les deacuteploiements et administrer les environnements Windows 7bull Configuration et administration de SharePoint Server 2010 nouveaubull Deacutevelopper et personnaliser les applications pour Sharepoint 2010 nouveaubull Lrsquoessentiel de lrsquoadministration de serveurs Windows 2008bull Configurer et deacutepanner une infrastructure reacuteseau Windows 2008bull Active Directory pour Windows Server 2008bull Configuration administration et deacutepannage de Exchange Server 2010bull Concevoir et deacuteployer des solutions de messagerie avec Exchange 2010 nouveaubull Mise en œuvre et maintenance des outils de communications unifieacutees avec OCS R2
Global Knowledge a eacuteteacute eacutelu laquoMeilleur partenaire Formation de lrsquoanneacuteeraquo par Cisco VMware et Citrix
pub_Hackin9_ete2010indd 1 28062010 101155
3 HAKIN9 32010
La seacutecuriteacute de la teacuteleacutephonie VoIP Durant cette pleine peacuteriode de vacances et de repos
commenccedilons ce numeacutero par le dossier deacutedieacute agrave la seacutecuriteacute de la teacuteleacutephonie VoIP En effet nous sommes nombreux agrave utiliser et profiter des avantages de la communication teacuteleacutephonique via les reacuteseaux Lrsquoauteur de lrsquoarticle sur Asterisk vous expliquera les vulneacuterabiliteacutes du protocole ToIP les meacutethodes drsquoattaques et surtout de bonnes mesures de preacutevention Vous deacutevouvrirez le fonctionnement drsquoAsterisk solution Open Source qui a deacutejagrave fait ses preuves
Une panne de reacuteseaux informatiques risque de coucircter cher agrave toute entreprise et risque drsquoecirctre lourde en conseacutequencesDans la section Pratique deacutecouvrez lrsquoarticle Supervisez votre reacuteseau gracircce agrave Nagios qui vous expliquera comment superviser vos parcs informatiques
Dans la section Attaque nous vous invitions agrave lire lrsquoarticle sur une technique que les pirates utilisent pour influencer ou manipuler les utilisateurs afin de leur soutirer de lrsquoargent Tout cela gracircce aux meacutedias sociaux Un article que les passionneacutes de sites de reacuteseaux sociaux ne manqueront pas
Utiliser un servuer mandataire nous protegravege-t-il contre tous les riques sur la Toile Dans lrsquoarticle Serveurs mandataires comment les utiliser vous aurez lrsquooccasion de connaicirctre les diffeacuterents types de serveur mandataire dans la seacutecuriteacute informatique Vous apprendrez eacutegalement agrave les utiliser
Bonne lecture agrave tous
Lrsquoeacutequipe Hakin9
EacuteDITORIAL
Le mensuel hakin9 est publieacute par Software Press Sp z o o SK
Preacutesident de Software Press Sp z o o SK Paweł Marciniak Directrice de la publication Ewa LozowickaReacutedactrice en chef Aneta Mazuranetamazurhakin9orgFabrication Andrzej Kucaandrzejkucasoftwarecompl
DTP Przemysław BanasiewiczCouverture Agnieszka Marchocka
Publiciteacute publicitesoftwarecompl(c) 2009 Software Press Sp z o o SK tous les droits reacuteserveacutes
Beacuteta-testeurs Didier Sicchia Pierre Louvet Anthony Marchetti Reacutegis Senet Paul Amar Julien Smyczynski Gregory Vernon Latorre Christophe Timoteacutee Neullas
Les personnes inteacuteresseacutees par la coopeacuteration sont inviteacutees agrave nous contacter frhakin9org
Adresse de correspondance Software Press Sp z o o SKBokserska 1 02-682 Varsovie PologneTeacutel +48 22 427 32 87 Fax +48 22 244 24 59wwwhakin9org
AVERTISSEMENTLes techniques preacutesenteacutees dans les articles ne peuvent ecirctre utiliseacutees qursquoau sein des reacuteseaux internes
La reacutedaction du magazine nrsquoest pas responsable de lrsquoutilisation incorrecte des techniques preacutesenteacutees
Lrsquoutilisation des techniques preacutesenteacutees peut provoquer la perte des donneacutees
TABLE DES MATIERES
NewsRubrique tenue par Paul Amar 6
DOssIeRASTERISK et les techniques de hack de la teacuteleacutephonie sur IP 8David HureacuteAsterisk est une solution Open source innovante qui a fait ses preuves Aujourdrsquohui utiliseacute par des particu-liers comme de grandes entreprises et posseacutedant un reacuteel potentiel drsquoeacutevolution Asterisk apporte un nouveau souffle agrave la ToIP
sEacuteCURITEacute REacuteseAUXServeurs mandataires Comment les utiliser 16Paul Amarsrsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure A travers cet article vous allez deacutecouvrir le principe des diffeacuterents types de serve-ur mandataire dans la seacutecuriteacute informatique
Connexion seacutecuriseacutee gracircce agrave SSH 22Reacutegis SenetProteacutegez vos communications de lrsquoensemble des actes de piratage en chiffrant vos donneacutees Gracircce agrave cet article vous allez apprendre comment mettre en place le protocole seacutec-uriseacute pour les communications distantes en effet nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer to-us ces protocoles et de posseacuteder vos accegraves ssH
PRATIQUeSupervisez votre reacuteseau gracircce agrave Nagios 28Reacutegis SenetLes reacuteseaux informatiques sont devenus indispensab-les au bon fonctionnement geacuteneacuteral de nombreuses en-treprises et administrations Tout problegraveme ou panne risque drsquoavoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs infor-matiques est alors neacutecessaire et indispensable Deacutec-ouvrez comment superviser votre reacuteseau informatique gracircce agrave Nagios
72010
72010
Supervisez votre reacuteseau gracircce agrave Nagios II partie 38Reacutegis SenetCet article constitue la II egraveme partie de lrsquoarticle deacutedieacute agrave la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines windows nous al-lons voir eacutegalement celle des machines GNULinux
ATTAQUeLes attaques ltlt Evil Twin gtgt du Social Engineering 46Tim KalpUn evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance to-ut en recueillant des informations sur sa victime Nous verrons dans cet article comment gracircce auxevil Twin certains pirates parviennent agrave utiliser les meacutedias soci-aux contre nous contre des employeacutes ou les membres drsquoune famille
72010
ACTUALITEacuteS
Youtube une faille XSS deacuteceleacuteeUne vulneacuterabiliteacute de type XSS a eacuteteacute exploiteacutee sur le site Youtube aux alentours du 5 juillet 2010 Google a pat-cheacute la vulneacuterabiliteacute au plus vite eacutevitant ainsi au vecteur drsquoattaque de creacuteer de nombreux deacutegacircts Cette exploi-tation de faille srsquoest faite juste apregraves la fecircte nationale des Etats-Unis Crsquoest peut-ecirctre une simple coiumlncidence mais de nombreux pirates jouent sur les fecirctes nationa-les etc pour ainsi espeacuterer une dureacutee de vie plus longue de la vulneacuterabiliteacute les effectifs eacutetant moins nombreux le patch sera plus long agrave arriver Rappelons-nous par exemple le cas avec Twitter lrsquoanneacutee derniegravere agrave la peacute-riode de Pacircques etc
Concernant lrsquoaspect technique de la vulneacuterabiliteacute si nous tentions drsquoinseacuterer des balises HTML seule la premiegravere eacutetait filtreacutee Degraves lors il suffisait drsquoentrer ltscriptgtltscriptgt pour que la deuxiegraveme balise ltscriptgt soit exeacutecuteacutee car mal filtreacutee
Lrsquoattaque nrsquoa pas eu de grave reacutepercutions et nrsquoa ser-vi qursquoagrave inseacuterer des messages au sujet de la mort ficti-ve de Justin Bieber (chanteur canadien) ainsi que cer-taines redirections
En revanche les risques drsquoune XSS sont lrsquoaffichage de nombreux messages la reacutecupeacuteration des cookies et ainsi tromper la majoriteacute des internautes
Avis aux deacutetenteurs de vulneacuterabiliteacutes sur les navigateurs Mozilla ChromeMozilla a augmenteacute la reacutecompense donneacutee aux cher-cheurs en seacutecuriteacute informatique qui trouveraient des bugs dans le navigateur internet Mozilla firefox La va-leur de la laquo prime raquo est de 3 000 $ Ce systegraveme cher-che agrave valoriser le travail des chercheurs en seacutecuriteacute afin de promouvoir le cocircteacute laquo lucratif raquo que les bugs trou-veacutes apporteraient et ainsi pallier le problegraveme de laquo full-disclosure raquo (soit divulguer la faille sur internet) Cette initiative a eacuteteacute lanceacutee deacutebut 2004 et semble ecirctre suivie par bon nombre de personnes
Cependant le bug doit avoir certaines particulariteacutes notamment ne pas avoir deacutejagrave eacuteteacute reporteacute ecirctre de type laquo remote exploit raquo et dans la derniegravere version du logi-ciel
En parallegravele drsquoautres compagnies ont suivi le mecircme mouvement comme Google avec une prime agrave 1337 $ ce qui en fera sourire certains car signifie laquo leet raquo so-it eacutelite Information de derniegravere minute Google vient drsquoaugmenter la prime agrave 31137 $
Un add-on Mozilla qui reacutecupegravere vos mots de passeDe nombreux add-ons au navigateur Internet Firefox ont paru il y a quelques jours dont le laquo Mozilla Sniffer raquo servant agrave intercepter les logins passwords et donneacutees soumis agrave nrsquoimporte quel site les envoyant par la suite
agrave une machine distante Cet add-on a eacuteteacute uploadeacute le 6 juin et la compagnie deacutenombre agrave ce jour pregraves de 3300 laquo utilisateurs raquo de ce logiciel malveillant
Le code de lrsquoadd-on nrsquoavait pas eacuteteacute veacuterifieacute mais seu-lement scanneacute agrave la recherche drsquoun quelconque virus Seul un comportement anormal de lrsquoadd-on est deacutetecteacute en analysant le code
Mozilla aux aguets depuis ces derniers temps a deacute-celeacute un autre add-on nommeacute laquo CoolPreviews raquo dont le code contient une vulneacuterabiliteacute permettant agrave une per-sonne mal intentionneacutee drsquoexeacutecuter du code agrave distan-ce et ainsi avoir la main sur la victime infecteacutee par cet add-on
Degraves lors pregraves de 177 000 ont la version de laquo Cool-Previews raquo installeacutee Crsquoest donc un vecteur drsquoattaque qui nrsquoest en aucun cas agrave neacutegliger et qui risque de faire de nombreux deacutegacircts tout en nuisant agrave lrsquoimage du navi-gateur
Un ancien employeacute du MI6 coupable de fuites drsquoinformationsDaniel Houghton 25 ans a eacuteteacute au cœur de lrsquoactualiteacute au cours des derniegraveres semaines Il a travailleacute de 2007 agrave 2009 dans les services de renseignement du Roy-aume-Uni Il eacutetait rattacheacute au MI6 en charge de la pro-tection du pays contre des attaques terroristes etc Fin 2009 Daniel Houghton a deacutecideacute de deacutemissionner em-portant avec lui de nombreuses informations suscep-tibles de se reacuteveacuteler tregraves inteacuteressantes aux yeux de per-sonnes cherchant agrave nuire au Royaume-Uni
Il a eacuteteacute accuseacute il y a quelques semaines drsquoavoir voulu deacutevoiler contre de lrsquoargent des informations classeacutees confidentielles dont une liste de pregraves de 700 membres appartenant aux services de renseignements etc
hakin9orgfr 7
ACTUALITEacuteS
Daniel avait chercheacute agrave vendre ces informations aux services de renseignements allemands demandant pregraves de 2 millions de pound Finalement apregraves de nomb-reuses neacutegociations il a baisseacute le prix agrave 900 000 pound La transaction devait ecirctre reacutealiseacutee agrave Londres mais Daniel a eacuteteacute arrecircteacute juste avant niant les faits Depuis il a plaideacute coupable Le jugement aura lieu le 3 septembre en at-tendant de nombreuses investigations continuent
Skype le secret reacuteveacuteleacute au grand jourLe 7 juillet aura eacuteteacute une date noire pour Skype crsquoest agrave cette date que Sean OrsquoNeil a publieacute agrave lrsquoaide drsquoune eacutequi-pe de laquo reverse engineers raquo lrsquoalgorithme drsquoencryptage de Skype
Cet algorithme eacutetait tenu secret par lrsquoeacutequipe de Skype Or maintenant il est reacuteveacuteleacute au grand jour
Sean OrsquoNeil explique sur son blog (article qui peut ecirctre visualiseacute gracircce au cache de Google car supprimeacute de son blog) que son code avait eacuteteacute voleacute il y a que-lques mois eacutetait utiliseacute par des pirates informatiques reacutealisant du spam etc Degraves lors Skype eacutetait remonteacute jusqursquoagrave lui lrsquoaccusant de jouer un rocircle preacutedominant avec les spammers etc
Quant agrave lui pour se justifier il propose du code en C tout en argumentant son acte il souhaite rendre Skype plus seacutecuriseacute
Quand les Hackers rencontrent les laquo pirates raquo Le fameux site de partage de fichiers a eacuteteacute victime drsquoun groupe de chercheurs argentins sous la direc-tion de Ch Russo Ils ont reacuteussi agrave acceacuteder agrave lrsquointerface drsquoadministration du site gracircce agrave de nombreuses vulneacute-rabiliteacutes telles que des SQL Injection
Degraves lors ils ont pu avoir accegraves agrave la base de donneacutees qui recensait pregraves de 4 millions drsquoutilisateurs 4 millions drsquoutilisateurs repreacutesentent un nombre tregraves important surtout pour lrsquoune des plates-formes les plus connues et les plus meacutediatiseacutees vu le nombre de procegraves auxquels ses dirigeants ont ducirc faire face Ces informations sont une veacuteritable mine drsquoor pour les personnes cherchant agrave mettre la main sur les utilisateurs pratiquant le teacuteleacutechar-gement Les chercheurs argentins pouvaient reacutealiser de nombreuses interactions comme par exemple creacuteer supprimer modifier ou encore voir les informations sur les utilisateurs incluant tous leurs torrents hellip
Russo a expliqueacute dans un communiqueacute que lui et ses associeacutes nrsquoont ni alteacutereacute ni supprimeacute une quelconque in-formation dans la base de donneacutees
Parallegravelement il a assureacute qursquoil ne vendrait aucune in-formation reacutecupeacutereacutee lors de cette intrusion Il souhaitait seulement deacutemontrer que les informations des memb-res nrsquoeacutetaient pas bien proteacutegeacutees et qursquoil eacutetait tout agrave fait possible de les reacutecupeacuterer Heureusement ces informa-tions ne soient pas tombeacutees dans de mauvaises mains
ce qui aurait provoqueacute un incident majeur sur toute cette communauteacute
Des problegravemes pour le FBI et lrsquoencryptage de plusieurs disques durs En juillet 2008 la police avait saisi 5 disques durs ap-partenant agrave un banquier breacutesilien Daniel Dantas sou-pccedilonneacute de nombreux crimes
Les autoriteacutes breacutesiliennes ont constateacute que les don-neacutees eacutetaient chiffreacutees
De nombreuses analyses ont reacuteveacuteleacute que les fichiers avaient eacuteteacute encrypteacutes agrave lrsquoaide de deux algorithmes dont TrueCrypt et un autre non identifieacute (certainement fondeacute sur 256-bit AES) De plus il nrsquoexiste pas (comme au Royaume-Uni par exemple) de loi forccedilant lrsquoutilisateur agrave donner sa cleacute de cryptage
Malgreacute un an drsquoeacutetudes et de tests le FBI nrsquoa pas reacuteussi agrave casser le systegraveme En conseacutequence sans les preuves informatiques des fraudes financiegraveres les enquecircteurs auront des difficulteacutes agrave poursuivre DANTAS
Les prochains mois nous permettront drsquoy voir un peu plus clair agrave ce sujet tout en suivant lrsquoaffaire
Cracking de password une nouvelle deacutecouverte surprenante Les chercheurs Nate Lawson et Taylor Nelson preacuteten-dent avoir deacutecouvert une faille de seacutecuriteacute qui affecte de nombreux systegravemes drsquoauthentification tels que Oauth ou encore OpenID Ces systegravemes sont tregraves fortement utiliseacutes sur des sites tels que Twitter hellip
Les cryptographes sont informeacutes des attaques dites laquo temporelles raquo depuis de nombreuses anneacutees ma-is nrsquoont jamais pris la menace tregraves au seacuterieux car elle semblait trop difficile agrave mettre en place sur un reacuteseau (problegravemes de latence etc ) puisque cette attaque est fondeacutee sur le temps
Lrsquoarticle preacutesente un cas inteacuteressant certains systegravemes veacuterifient que le login password correspond agrave chaque nouvelle insertion de caractegravere
Degraves lors les chercheurs en arrivent agrave la conclusion qursquoun mauvais essai de login arrive plus vite qursquoun login ougrave le premier caractegravere du login est bon (Le systegraveme renvoie un mauvais login degraves qursquoil deacutetecte un mauvais caractegravere)
Gracircce agrave ce facteur de laquo temps raquo il est possible de de-viner un mot de passe et ainsi contourner les systegravemes drsquoauthentification
Nate et Taylor souhaitent discuter de ces attaques agrave la Black Hat confeacuterence qui se tiendra fin aoucirct agrave Las Ve-gas Drsquoautres articles ou documentations nous en diront certainement plus sur lrsquoexploitation drsquoattaque de type laquo temporelle raquo
News reacutedigeacutes par Paul AMAR
72010
DOSSIER
Le monde de la teacuteleacutephonie est plus que jamais en eacutevolution ces derniegraveres anneacutees En effet apregraves le passage de la teacuteleacutephonie traditionnelle vers la
VoIP (voix sur reacuteseau IP) un grand nombre drsquoacteurs plus ou moins historiques proposent maintenant des solutions apportant des services agrave valeurs ajouteacutees
Alcatel fait toujours partie des leaders du marcheacute mecircme srsquoil a perdu des parts non neacutegligeables sur ce marcheacute drsquoautres ont reacuteussi agrave exploiter davantage lrsquoIP comme Cisco Avaya Mitelhellip ou encore un autre qursquoil nrsquoest plus neacutecessaire de preacutesenter Asterisk sous toutes ses formeshellip
Il y a encore 5 ans Asterisk repreacutesentait ~02 de parts de marcheacute puis en quelques anneacutees pregraves de 4 et maintenant il atteint pregraves de 7 du marcheacute mondial en 2010 Certains opeacuterateurs utilisent mecircme un noyau Asterisk pour leurs offres Centrex et ont agrave minima valideacute lrsquoAsterisk V14 etou V16 pour leurs solutions laquo Trunk-SIP raquo Asterisk beacuteneacuteficie maintenant drsquoune reacutesonance toute particuliegravere mecircme aux yeux des grandes entre-prises
Autant dire que la communauteacute Asterisk est compara-ble aux autres communauteacutes telles que Squid MySQL Apachehellip qursquoelle se porte bien et a encore de beaux jours devant elle
Ce succegraves est principalement ducirc au caractegravere laquo Open Source raquo drsquoAsterisk et agrave une certaine maturiteacute technologi-que qui lui permet maintenant drsquoecirctre aussi fiable et per-formant que les solutions leader De plus lrsquoensemble des fonctionnaliteacutes proposeacutees srsquoeacutetoffent agrave chaque version agrave
tel point qursquoaujourdrsquohui Asterisk possegravede des fonctions qui ne sont pas aux catalogues des grands constructeurs et surtout adaptables laquo sur mesure raquo agrave votre environne-ment afin de lrsquointerfacer dans des systegravemes drsquoinforma-tions complexes La flexibiliteacute drsquoAsterisk est un atout ma-jeur face aux autres solutions packageacutees
Asterisk permet notamment en plus de tous les servi-ces dit laquo classiques raquo de mettre en place des services tels que softphone voicemail MEVO PoPC statisti-que (CDR) call center Fax-mail interface speacutecifique IVR Confeacuterence provisionning automatique SMS passerelle mobile enregistrement text-To-Speech ACD Ldap taxation CRM supervision annuaire re-connaissance du numeacutero depuis lrsquoexteacuterieur gestion de Preacutesence des files drsquoattentes messagerie instantaneacutee couplage avec Wifi et DECT IP couplage avec visio-confeacuterence le chuchotement CTI T9 annuaire unifieacute musique drsquoattentehellip
Cependant la ToIPVoIP souffre encore drsquoune mau-vaise image drsquoun point de vue seacutecuriteacutehellipEn effet les reacuteseaux voix historiquement isoleacutes fusionnent de plus en plus avec les reacuteseaux de donneacutees ils sont donc plus sensibles aux attaques drsquoun piratage Les impacts peu-vent ecirctre variables confidentialiteacute dysfonctionnements usurpations eacutecoute changements des annonces de lrsquoIPbx accegraves aux messageries vocales contournement de la politique de seacutecuriteacute DATA (backdoors) perte fi-nanciegravere etchellip alors qursquoil existe un ensemble de solu-tions qui permettent de maitriser la seacutecuriteacute de son sys-tegraveme de teacuteleacutephonie sur IP
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
Asterisk est une solution Open Source innovante qui a fait ses preuves Historiquement conccedilu par un eacutetudiant en 1999 Mark Spencer avait un recircve il souhaitait deacutemocratiser la teacuteleacutephonie sur IP et concurrencer les plus grands Aujourdrsquohui utiliseacute par des particuliers comme de grandes entreprises et posseacutedant un reacuteel potentiel drsquoeacutevolution Asterisk apporte un nouveau souffle agrave la ToIPhellip
Cet article expliquehellipbull Les fondamentaux drsquoAsterisk bull Comment exploiter les vulneacuterabiliteacutes protocolaires de la ToIPbull Les meacutethodes drsquoattaques et les outilsbull Les bonnes pratiques pour se proteacuteger
Ce qursquoil faut savoirhellipbull Notion de reacuteseau et des protocolesbull Notion de ToIP
David Hureacute
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 9
au moins eacutequivalents agrave celui des anciens systegravemes de teacuteleacutephonie traditionnels
Nous allons en deacutetailler certains drsquoentre eux en com-menccedilant par la seacutecuriteacute de lrsquoOS qui supporte votre IPBX geacuteneacuteralement sous noyau Linux il existe deux eacutecoles Il y a ceux qui optimisent inteacutegralement lrsquoOS utiliseacute tech-nique tregraves efficace et beacuteneacuteficie drsquoavantages indeacuteniables comme les performances la seacutecuriteacute optimale la sta-biliteacute accruehellip et reacutepondent agrave des besoins speacutecifiques voire industriels
Cependant cette technique neacutecessite des compeacute-tences avanceacutees En effet partir drsquoun LFS laquo Linux from scratch raquo et compiler uniquement les modules drivers et paquets neacutecessaires afin drsquooptimiser inteacutegralement le noyau nrsquoest pas donneacute agrave tous cela reste manuel long et complexe et de plus aucun suivi de version nrsquoest applicable automatiquement Il faut mettre en place sa propre gestion des deacutependanceshellip
De lrsquoautre cocircteacute il y a ceux qui souhaitent mettre en place simplement et rapidement un systegraveme de base (Debian CentOs Red Hatehellip) ou mieux utilisent des variantes comme le mode laquo Hardened raquo (HLFS) afin de renforcer nettement le niveau de seacutecuriteacute Ce mo-de integravegre nativement des meacutecanismes de seacutecuriteacute sur la pile IP de lrsquoOS limite lrsquoexeacutecution des binaires des scripts et autres attaques et nutilise que les drivers neacutecessaireshellip coupleacutes uniquement aux services acti-veacutes par lrsquoadministrateur et utiles agrave la ToIP comme par exemple le WEB DHCP NTP TFTP lrsquoAsterisk le Ma-nager Asterisk SSH relay mailhellip En reacutesumeacute la plu-part des personnes concerneacutees utilisent simplement un systegraveme de base et se dirigent vers un laquo Harde-ned raquo lorsqursquoelles sont sensibles agrave la seacutecuriteacute Le LSF est geacuteneacuteralement reacuteserveacute au laquo Geek raquo aux construc-teurs etou eacutediteurs
Dans un autre registre le parameacutetrage drsquoAsterisk joue un rocircle essentiel dans la seacutecuriteacute de la solution de teacute-
Dans certaines actualiteacutes beaucoup ont entendu par-ler des enregistrements de lrsquoaffaire laquo Bettencourt raquohellip ou encore ont lu avec stupeacutefaction que certains opeacute-rateurs eacutetrangers nrsquoheacutesitaient pas agrave pirater des entre-prises drsquoautres pays afin de mettre en place des laquo pee-ring raquo de masse leur permettant de revendre des milliers de minutes par mois pour lrsquousage de leurs clientshellip
Drsquoautre part moins preacutesente en France lrsquoarnaque aux numeacuteros surtaxeacutes et agrave lusurpation didentiteacute le pro-ceacutedeacute est simple il consiste agrave appeler une personne en modifiant le numeacutero drsquoappelant par celui de quelqursquoun drsquoautre peu drsquoopeacuterateurs controcirclent ce type drsquoexerci-ce et ce controcircle est rendu quasi impossible dans le cas drsquoune communication VoIP internethellip
Une autre arnaque porte sur la modification de la synthegravese vocale afin de se faire passer pour quelqursquoun drsquoautre par le biais drsquoun simple outil de modulation de freacutequence vocale outil de plus en plus eacutevolueacute et qui permet par exemple de transformer la voix drsquoune fem-me en celle dun homme Les IPBX entreprise actuel-lement sur le marcheacute ne sont pas eacutequipeacutes aujourdrsquohui de meacutecanisme de laquo controcircle de conformiteacute raquo de la voix mais il est possible dans le cadre drsquoaffaires judiciaires de veacuterifier si une voix a eacuteteacute ou non modifieacute dans un en-registrement
A ce sujet drsquoailleurs seuls les opeacuterateurs sont contraints par commissions rogatoires deacutelivreacutees par les services judiciaires agrave mettre en place des eacutecoutes teacuteleacutephoniques Certaines techniques laquo drsquointerception leacutegale de trafic raquo se standardisent mecircme au niveau in-ternational comme le laquo Lawful interception raquo de la Com-munications Assistance for Law Enforcement Act (CA-LEA ou ETSI)
Cependant ne soyons pas alarmiste ce type drsquoatta-que neacutecessite une expertise et chacun agrave son niveau dispose de moyens plus ou moins eacutevolueacutes de se proteacute-ger avec des niveaux de seacutecuriteacute tregraves satisfaisants ou
Figure 1 Hausse rapide des vulneacuterabiliteacutes depuis 2006 (source NVD)
0
10
20
30
40
50
60
Nombre total de vulneacuterabiliteacutes de la voix sur IP
2002 2003 2004 2005 2006 2007 2008
7201010
DOSSIER
leacutephonie sur IP En effet lrsquoAsterisk est un service fondeacute sur un ensemble de fichiers de configuration en com-menccedilant par le laquo SIPconf raquo permettant de configurer les comptes SIP utilisateurs (SDA nombre drsquoappels si-multaneacutes max Nom Preacutenomhellip) les contextes auxquels ils sont rattacheacutes les CODEC agrave utiliser la gestion des droits drsquoappelshellip crsquoest ce fichier qui par exemple vous autorise ou non agrave appeler un 06 08 lrsquointernationalhellipet liste les services de ToIP que vous pourrez utiliser (dou-ble appel conf call voicemailhellip)
De plus le fichier laquo extensionconf raquo permet drsquoeacutetablir un dial plan drsquoautres types de contextes (interneexter-ne) des macroshellip la gestion des renvois pour autori-ser ou non un renvoi vers 06 ou 08
Une partie de la seacutecuriteacute du service laquo Asterisk raquo sappuie entre autres sur le laquo managerconf raquo Ce fichier repreacutesente lrsquoadministration du noyau Asterisk (Figure 2 laquo manager Asterisk raquo) Une des bonnes pratiques consiste agrave creacuteer uniquement un compte laquo super Administrateur raquo et agrave bien parameacutetrer le ni-veau de droit des utilisateurs lambda (users) et des autres administrateurs deacuteleacutegueacutes (Originate) Voici la synthegravese des eacuteleacutements parameacutetrables via le laquo mana-ger raquo
Nb Il est entre autres recommandeacute drsquoutiliser le SSH et drsquoactiver le mode de connexion SSL agrave lrsquointerface WEB du manager ou simplement de la deacutesactiver
LrsquoAsterisk sappuie aussi sur drsquoautres fichiers de configuration comme le laquo CDRconf raquo pour la ges-tion et le parameacutetrage des logs du call flowhelliple fichier laquo CDRmanagerconf raquo le laquo H323conf raquo laquo iaxconf raquo laquo queuesconf raquo etchellip
Geacuteneacuteralement et de plus en plus les utilisateurs comme les administrateurs sont friands drsquoutiliser une interface WEB (surcouche drsquoadministration) pour le parameacutetrage et lrsquoadministration de lrsquoAsterisk et de ses services Elle doit beacuteneacuteficier de diffeacuterents niveaux de seacutecuriteacute A minima trois niveaux par exemple laquo Root raquo laquo Admin raquo laquo utilisateur raquo qui permet drsquoauto-riser ou pas certaines modifications (ex modification
adresse mail SDA plan de SDA renvoi supervision) sans passer directement par les fichiers de configura-tion drsquoAsterisk
Il est aussi important de seacutelectionner le bon laquo dri-ver TAPI raquo pour les postes de travail et le click to dial par exemple afin de ne pas ecirctre obligeacute drsquooctroyer des droits suppleacutementaires sur le manager agrave un utilisateur lorsqursquoil tente drsquoutiliser cette fonction (De plus si quel-qursquoun eacutecoute les flux ou utilise un sniffer il a de grandes chances de reacutecupeacuterer le mot de passe administrateur du managerhellipil est donc preacutefeacuterable drsquoutiliser le mode laquo originate raquo)
Drsquoautre part le mode drsquoauthentification des teacuteleacutepho-nes IP reste somme toute assez basique puisque cer-tains flux sont en clairs et puisque le challenge est reacutealiseacute avec un hash simple en MD5 et pas de chiffre-menthellip Ce qui renforce lrsquoimportance de la politique de mot de passe
Pour finir les nouvelles releases en test beacuteneacuteficient deacutejagrave de certaines reacuteponses (V162) et drsquoavanceacutees en matiegravere de seacutecuriteacute comme le support TLS pour le SRTP le renforcement de certains meacutecanismes de seacute-curiteacute ou encore le support du T140 pour les messages texte le support du SS7 dans DAHDI lrsquoameacutelioration des CDR de la gestion du Dial Plan du laquo MeetMe raquo des files drsquoattente des nouvelles fonctions SIP et bien drsquoautreshellip
Les problegravemes protocolairesLa ToIP est maintenant une partie inteacutegrante des reacute-seaux LAN (voir la rubrique sites web) elle est donc soumise agrave un ensemble de probleacutematiques purement reacuteseau dont voici quelques exemples quelques soit les constructeurshellip
bull Le Deacuteni de service (DoS) sur VoIP qui consiste agrave lancer une multitude de requecirctes laquo flooding SIP raquo laquo TCP syn raquo ou laquo UDP raquo (par exemple deman-des drsquoenregistrement et dappelshellip) jusquagrave satura-tion des services VoIP Ces types dattaques ciblent souvent les serveurs les passerelles les proxy ou encore les teacuteleacutephones IP qui voient leurs res-sources sont rapidement eacutepuiseacutees par ces requecirc-tes dont lrsquoobjectif est de perturber voire mettre hors service le systegraveme cibleacute Une autre attaque eacutegale-ment reacutepandue consiste agrave envoyer des commandes laquo BYE raquo au teacuteleacutephone afin de mettre fin agrave la conver-sation en courshellip
bull La manipulation du contenu multimeacutedia et des si-gnaux est une attaque qui permet drsquoinjecter un fi-chier son dans un flux RTP par le biais drsquoune atta-que laquo RTP Insertsound raquo
bull Attaque par laquo relecture raquo ou laquo Deacutetournement den-registrement raquo de sessions autoriseacutees obtenues gracircce agrave une analyse de trame par un laquo sniffer raquo sur le reacuteseau ou par interception de trafic Cette atta-Figure 2 laquo manager Asterisk raquo
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 11
que se deacuteroule au niveau du protocole SIP elle uti-lise la commande laquo Register raquo qui sert agrave localiser un utilisateur par rapport agrave son adresse IP Le pi-rate peut alors rejouer ces sessions de laquo regis-ter raquo valide en modifiant uniquement lrsquoadresse IP de destination en sa faveurhellipCette attaque est due au fait que le protocole SIP transite une partie des informations en clair il est donc possible de met-tre en place du SIPS qui integravegre des meacutecanismes drsquoauthentification et assure lrsquointeacutegriteacute des donneacutees
bull Le laquo Man in the Middle raquo (figure 3 exemple drsquoeacutechange protocolaire) (MITM) est une des atta-ques les plus connues elle permet agrave lrsquoassaillant de se positionner entre le client et le serveur afin drsquoin-tercepter les flux cibleacutes qui sont eacutechangeacutes Le pi-rate usurpe alors lrsquoadresse MAC (spoof MAC) de ces 2 parties par lrsquoempoisonnement du cache ARP des switches (ex Ettercap + plugin laquo chk_poiso-ning raquo) afin drsquoecirctre transparent dans ces eacutechanges Les donneacutees transitent alors au travers du systegraveme pirate Dans le cas de la ToIP cette technique est utiliseacutee pour laquo lrsquoEavesdropping raquo (laquo Oreille indiscregrave-
te raquo) lui permettant ainsi drsquoeacutecouter et drsquoenregistrer les conversations entre les interlocuteurs mais aus-si de reacutecupeacuterer un ensemble drsquoinformations confi-dentielles cette technique est aussi utiliseacutee pour drsquoautres protocoles (SSL DNS SSHhellip)
bull Le laquo switch jamming raquo (figure 4 ARP spoofing at-taques) est une attaque qui consiste agrave saturer le plus rapidement possible les tables de commu-tation drsquoun commutateur avec des milliers de pa-quets contenant de fausses adresses MAC (floo-ding MAC) dans le but de le transformer en laquo mode reacutepeacuteteur raquo (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports Nb cette attaque ne fonctionne pas avec tous les commutateurs et elle est geacuteneacuteralement peu discregrave-tehellip
bull La deacuteviation par un paquet ICMP consiste agrave utiliser un geacuteneacuterateur de paquet du type laquo frameipexe raquo (disponible sur internet) et agrave forger ses propres pa-quets ICMP de deacuteviation (type 5) agrave destination du client afin de lui indiquer que la route utiliseacutee nrsquoest pas optimale et lui communiquer par la mecircme occa-
Figure 3 exemple drsquoeacutechange protocolaire
Client Attacker Server
Alice Proxy 1 Proxy 2 Bob
INVITE
Trying
Ringing
OK
INVITE
Trying
Ringing
OK
INViTE
Ringing
OK
AC K
Communication multimeacutedia
BYE
OK
7201012
DOSSIER
sion la nouvelle route qui permettra de rediriger les flux vers un hocircte pirate qui ferait office de passe-relle Lrsquoobjectif de cette attaque est multiple eacutecou-te enregistrement (comme pour MITM) DoShellip Il est important de noter que cette attaque ne per-met pas de rediriger le trafic dune connexion entre deux machines du mecircme reacuteseau local (mecircme plan adresse IP) puisque le trafic eacutechangeacute ne passe pas par une passerelle
bull laquo VLAN Hopping raquo consiste agrave deacutecouvrir le Ndeg de VLAN attribueacute agrave la ToIP (en reacutecupeacuterant la VLAN Database utilisation drsquoun sniferhellip) dans un envi-ronnement LAN et de marquer des trames Ether-net directement dans ce VLAN en forgeant ses pro-pres trames Cette technique permet de srsquoaffranchir drsquoune partie de la seacutecuriteacute associeacutee aux VLANshellip(label spoofing)
bull Dans certains cas un simple laquo brute force raquo sur le serveur TFTP laquo officiel raquo permet de teacuteleacutecharger la configuration complegravete drsquoun eacutequipement et drsquoap-prendre un certain nombre drsquoeacuteleacutementshellip
bull En SIP les eacutequipements beacuteneacuteficient drsquoune reacuteelle in-telligence embarqueacutee contrairement aux MGCP par exemplehellip il est donc possible de demander agrave un teacute-leacutephone laquo drsquoafficher raquo lors drsquoun appel agrave son destinatai-re un numeacutero de teacuteleacutephone diffeacuterent du sien En inter-ne cela nrsquoa que peu drsquoeffet Pourtant une personne pourrait preacutetendre appeler depuis le centre de seacutecuri-teacute ou le bureau du directeurhellip et demander lrsquoexeacutecution drsquoactions particuliegraveres par exemple De lrsquoexteacuterieur ecirctre discret se faire passer pour quelqursquoun autre ou en-core afficher systeacutematiquement pour tous les appels sortants un numeacutero tiers pirate (modification sur pas-serelle ou IPbx) Lorsque les destinataires tenteront de recontacter leurs collegravegues etou partenaires en faisant laquo BIS raquo ou rappeler dans lrsquohistorique des ap-pels ils tomberont systeacutematiquement sur le numeacutero (payant) qui eacutetait afficheacute (ex 14euro par appel)
Ports geacuteneacuteralement utiliseacutes en ToIPTFTP UDP 69MGCP UDP 2427LDAP TCP 389Backhaul (MGCP) UDP 2428TapiJtapi TCP 2748http TCP 808080SSL TCP 443SCCP TCP 3224Skinny TCP 2000-2002SNMP UDP 161SNMP Trap UDP 162DNS UDP 53SIP TCP 5060SIPTLS TCP 5061H323 RAS TCP 1719H323 H225 TCP 1720H323 H245 TCP 11000-11999H323 Gatekeeper Discovery UDP 1718RTP 16384-32767NTP UDP 123
Ensuite au niveau des applications
bull Apregraves avoir ameacutelioreacute la seacutecuriteacute sur vos reacuteseaux et vos protocoles il reste neacuteanmoins drsquoautres points noirs comme les interfaces graphiques des IPbx lrsquousage du mode HTTPS nrsquoest pas forceacute voire non activeacute
bull De plus au niveau des stations de travail lrsquoauthen-tification aux pages drsquoadministrations de lrsquoIPbx etou des interfaces utilisateurs peut ecirctre coupleacutee agrave des cookies ou du NTLM qui ne sont pas forcement un gage de seacutecuriteacute et encore moins quand lrsquoutilisa-teur demande agrave son navigateur de garder les mots de passe en meacutemoirehellip
bull Drsquoautre part il existe un nombre de failles etou de vulneacuterabiliteacutes non neacutegligeable directement sur
Figure 4 ARP spoofing attaques
Utilisateur 1 Utilisateur 2
ltlt Spoof MacAddress gtgt
ltlt Spoof MacAddress gtgt
Attaquantltlt Man in
the Middle gtgt
ltlt SwitchJamming gtgt
Ethernet Switch
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 13
les interfaces des IPbx exeacutecution forceacutee de script comme le laquo cross site scripting raquo ou autres la falsi-fication des requecirctes inter-sites injections de don-neacuteeshellip
bull Plus simplement par deacutefaut les eacutequipements ToIP beacuteneacuteficient de services standard activeacutes (ex tel-net ouvert port SNMP et readwrite avec commu-nity name par deacutefaut interface Web de configura-tion de lrsquoeacutequipement permettant la modification de la configuration en http reacutecupeacuteration drsquoinformations directes statistiques reboot agrave distance port de troubleshooting authentification basique Services echo et time ouvertshellip) Toutes ces inattentions sur les eacutequipements facilitent souvent les actions dune personne mal intentionneacuteehellip
Quelques techniques utiliseacutees par les piratesGeacuteneacuteralement un simple laquo Snifer raquo sur votre LAN per-mettra agrave un pirate de reacutecupeacuterer une multitude drsquoinforma-tions telles que les protocoles utiliseacutes sur votre reacuteseau (CDP STP DNS DHCP LDAP MAPIhellip) et drsquoobtenir des renseignements sur votre plan adressage IP vos VLANs codecs utiliseacutes utilisateurs login mot de pas-se deacutecouverte de vos infrastructures de la topologie la marque des eacutequipements les IOS vos serveurs leurs OS et versions version des applicationshellip
bull Le ldquofuzzingrdquo est une meacutethode permettant de tester les logiciels et de mettre en eacutevidence des dysfonc-tionnements potentiels afin de constater la reacuteaction du systegraveme lorsquil reccediloit de fausses informations Cette meacutethode utilise un certain nombre drsquooutils de seacutecuriteacute utiliseacutes notamment lors drsquoaudits mais cer-taines personnes mal intentionneacutees srsquoen servent dans le but de trouver et exploiter des failles (comp-te administrateur augmentation des deacutelais DOS eacutecoutehellip)
bull Spam VoIP ou SPIT (Spam Over Internet Tele-phony) - le SPIT est comme son nom lrsquoindique un SPAM dont lobjectif est la diffusion dun mes-sage publicitaire en initiant etou relayant un maxi-mum drsquoappels agrave lrsquoaide de laquo Bots raquo agrave destination de millions dutilisateurs VoIP depuis le systegraveme com-promis Cette technique a de multiples conseacutequen-ces comme la saturation du systegraveme des MEVO des communications simultaneacuteeshellip Une utilisation deacutetourneacutee du SPIT consiste aussi agrave initier un maxi-mum drsquoappels agrave destination de Ndeg surtaxeacutes dans le but drsquoenrichir des organisations malveillanteshellip
bull Vishing (Voice Phishing) ndash Cette technique est comparable au laquo phishing raquo traditionnel dans le but drsquoinciter des utilisateurs agrave divulguer des don-neacutees confidentielles voire sensibles (par exemple noms dutilisateur mots de passe et ou numeacuteros de compte Ndeg de seacutecuriteacute sociale code bancaire adresses coordonneacuteeshellip) Dans notre cas crsquoest un
SPIT qui diffuse un message demandant aux utili-sateurs drsquoappeler un numeacutero speacutecifique pour veacuteri-fier les informations en questions et il ne reste plus qursquoagrave attendre que le teacuteleacutephone sonne Apregraves avoir reacutecupeacutereacute ces donneacutees le pirate les utilise ou les vend agrave des tiers
bull Vol dadresses eacutelectroniques ndash Lrsquousage du laquo Voi-cemail raquo se multipliant chaque utilisateur ou pres-que beacuteneacuteficie drsquoune adresse de messagerie eacutelec-tronique associeacutee cette attaque consiste agrave bom-barder le serveur de laquo voicemail raquo du domaine ToIP avec des milliers drsquoadresses mail de test (ex nomprenomclientfr nomprenomclientfr nomclientcom) Chaque adresse non valide est re-tourneacutee pour le reste lrsquoattaquant peut ainsi en deacute-duire un certain nombre drsquoadresses mail valides qursquoil pourra alors utiliser agrave sa guise pour drsquoautres at-taques (SPIT Vishing SPAM mailhellip)
bull Deacutetournement de trafic ou laquo Phreaking raquo est une meacutethode historique degraves les deacutebuts de la teacuteleacutephonie elle consiste agrave ne pas payer les communications et agrave rester anonyme En ToIP ce deacutetournement s ef-fectue apregraves reacutecupeacuteration dun couple loginpass valide ou apregraves accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone Les pionniers du laquo Phrea-king raquo (Cf figure 5) Imaginons maintenant que le pirate ait reacuteussi (par diffeacuterents moyens) agrave obtenir un login aux droits suffisants pour modifier la confi-guration de votre Ipbx Il peut alors parameacutetrer un laquo Trunck raquo agrave destination drsquoun autre IPbx et organi-ser la revente de minutes par dizaines de milliers dans un autre payshellip en utilisant le mecircme concept
Exemple de quelques outils SIPtap Wireshark VOMIT (Voice Over Misconfigured Internet Telephones) VoIPong NESUS nmap troyens divers UCSniff (ARP Saver VLAN Hopping) Digitask pour skype SIVUS Teardown Cain Backtrack Dsniff YLTI scapy SIPcrackhellip
Figure 5 accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
3 HAKIN9 32010
La seacutecuriteacute de la teacuteleacutephonie VoIP Durant cette pleine peacuteriode de vacances et de repos
commenccedilons ce numeacutero par le dossier deacutedieacute agrave la seacutecuriteacute de la teacuteleacutephonie VoIP En effet nous sommes nombreux agrave utiliser et profiter des avantages de la communication teacuteleacutephonique via les reacuteseaux Lrsquoauteur de lrsquoarticle sur Asterisk vous expliquera les vulneacuterabiliteacutes du protocole ToIP les meacutethodes drsquoattaques et surtout de bonnes mesures de preacutevention Vous deacutevouvrirez le fonctionnement drsquoAsterisk solution Open Source qui a deacutejagrave fait ses preuves
Une panne de reacuteseaux informatiques risque de coucircter cher agrave toute entreprise et risque drsquoecirctre lourde en conseacutequencesDans la section Pratique deacutecouvrez lrsquoarticle Supervisez votre reacuteseau gracircce agrave Nagios qui vous expliquera comment superviser vos parcs informatiques
Dans la section Attaque nous vous invitions agrave lire lrsquoarticle sur une technique que les pirates utilisent pour influencer ou manipuler les utilisateurs afin de leur soutirer de lrsquoargent Tout cela gracircce aux meacutedias sociaux Un article que les passionneacutes de sites de reacuteseaux sociaux ne manqueront pas
Utiliser un servuer mandataire nous protegravege-t-il contre tous les riques sur la Toile Dans lrsquoarticle Serveurs mandataires comment les utiliser vous aurez lrsquooccasion de connaicirctre les diffeacuterents types de serveur mandataire dans la seacutecuriteacute informatique Vous apprendrez eacutegalement agrave les utiliser
Bonne lecture agrave tous
Lrsquoeacutequipe Hakin9
EacuteDITORIAL
Le mensuel hakin9 est publieacute par Software Press Sp z o o SK
Preacutesident de Software Press Sp z o o SK Paweł Marciniak Directrice de la publication Ewa LozowickaReacutedactrice en chef Aneta Mazuranetamazurhakin9orgFabrication Andrzej Kucaandrzejkucasoftwarecompl
DTP Przemysław BanasiewiczCouverture Agnieszka Marchocka
Publiciteacute publicitesoftwarecompl(c) 2009 Software Press Sp z o o SK tous les droits reacuteserveacutes
Beacuteta-testeurs Didier Sicchia Pierre Louvet Anthony Marchetti Reacutegis Senet Paul Amar Julien Smyczynski Gregory Vernon Latorre Christophe Timoteacutee Neullas
Les personnes inteacuteresseacutees par la coopeacuteration sont inviteacutees agrave nous contacter frhakin9org
Adresse de correspondance Software Press Sp z o o SKBokserska 1 02-682 Varsovie PologneTeacutel +48 22 427 32 87 Fax +48 22 244 24 59wwwhakin9org
AVERTISSEMENTLes techniques preacutesenteacutees dans les articles ne peuvent ecirctre utiliseacutees qursquoau sein des reacuteseaux internes
La reacutedaction du magazine nrsquoest pas responsable de lrsquoutilisation incorrecte des techniques preacutesenteacutees
Lrsquoutilisation des techniques preacutesenteacutees peut provoquer la perte des donneacutees
TABLE DES MATIERES
NewsRubrique tenue par Paul Amar 6
DOssIeRASTERISK et les techniques de hack de la teacuteleacutephonie sur IP 8David HureacuteAsterisk est une solution Open source innovante qui a fait ses preuves Aujourdrsquohui utiliseacute par des particu-liers comme de grandes entreprises et posseacutedant un reacuteel potentiel drsquoeacutevolution Asterisk apporte un nouveau souffle agrave la ToIP
sEacuteCURITEacute REacuteseAUXServeurs mandataires Comment les utiliser 16Paul Amarsrsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure A travers cet article vous allez deacutecouvrir le principe des diffeacuterents types de serve-ur mandataire dans la seacutecuriteacute informatique
Connexion seacutecuriseacutee gracircce agrave SSH 22Reacutegis SenetProteacutegez vos communications de lrsquoensemble des actes de piratage en chiffrant vos donneacutees Gracircce agrave cet article vous allez apprendre comment mettre en place le protocole seacutec-uriseacute pour les communications distantes en effet nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer to-us ces protocoles et de posseacuteder vos accegraves ssH
PRATIQUeSupervisez votre reacuteseau gracircce agrave Nagios 28Reacutegis SenetLes reacuteseaux informatiques sont devenus indispensab-les au bon fonctionnement geacuteneacuteral de nombreuses en-treprises et administrations Tout problegraveme ou panne risque drsquoavoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs infor-matiques est alors neacutecessaire et indispensable Deacutec-ouvrez comment superviser votre reacuteseau informatique gracircce agrave Nagios
72010
72010
Supervisez votre reacuteseau gracircce agrave Nagios II partie 38Reacutegis SenetCet article constitue la II egraveme partie de lrsquoarticle deacutedieacute agrave la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines windows nous al-lons voir eacutegalement celle des machines GNULinux
ATTAQUeLes attaques ltlt Evil Twin gtgt du Social Engineering 46Tim KalpUn evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance to-ut en recueillant des informations sur sa victime Nous verrons dans cet article comment gracircce auxevil Twin certains pirates parviennent agrave utiliser les meacutedias soci-aux contre nous contre des employeacutes ou les membres drsquoune famille
72010
ACTUALITEacuteS
Youtube une faille XSS deacuteceleacuteeUne vulneacuterabiliteacute de type XSS a eacuteteacute exploiteacutee sur le site Youtube aux alentours du 5 juillet 2010 Google a pat-cheacute la vulneacuterabiliteacute au plus vite eacutevitant ainsi au vecteur drsquoattaque de creacuteer de nombreux deacutegacircts Cette exploi-tation de faille srsquoest faite juste apregraves la fecircte nationale des Etats-Unis Crsquoest peut-ecirctre une simple coiumlncidence mais de nombreux pirates jouent sur les fecirctes nationa-les etc pour ainsi espeacuterer une dureacutee de vie plus longue de la vulneacuterabiliteacute les effectifs eacutetant moins nombreux le patch sera plus long agrave arriver Rappelons-nous par exemple le cas avec Twitter lrsquoanneacutee derniegravere agrave la peacute-riode de Pacircques etc
Concernant lrsquoaspect technique de la vulneacuterabiliteacute si nous tentions drsquoinseacuterer des balises HTML seule la premiegravere eacutetait filtreacutee Degraves lors il suffisait drsquoentrer ltscriptgtltscriptgt pour que la deuxiegraveme balise ltscriptgt soit exeacutecuteacutee car mal filtreacutee
Lrsquoattaque nrsquoa pas eu de grave reacutepercutions et nrsquoa ser-vi qursquoagrave inseacuterer des messages au sujet de la mort ficti-ve de Justin Bieber (chanteur canadien) ainsi que cer-taines redirections
En revanche les risques drsquoune XSS sont lrsquoaffichage de nombreux messages la reacutecupeacuteration des cookies et ainsi tromper la majoriteacute des internautes
Avis aux deacutetenteurs de vulneacuterabiliteacutes sur les navigateurs Mozilla ChromeMozilla a augmenteacute la reacutecompense donneacutee aux cher-cheurs en seacutecuriteacute informatique qui trouveraient des bugs dans le navigateur internet Mozilla firefox La va-leur de la laquo prime raquo est de 3 000 $ Ce systegraveme cher-che agrave valoriser le travail des chercheurs en seacutecuriteacute afin de promouvoir le cocircteacute laquo lucratif raquo que les bugs trou-veacutes apporteraient et ainsi pallier le problegraveme de laquo full-disclosure raquo (soit divulguer la faille sur internet) Cette initiative a eacuteteacute lanceacutee deacutebut 2004 et semble ecirctre suivie par bon nombre de personnes
Cependant le bug doit avoir certaines particulariteacutes notamment ne pas avoir deacutejagrave eacuteteacute reporteacute ecirctre de type laquo remote exploit raquo et dans la derniegravere version du logi-ciel
En parallegravele drsquoautres compagnies ont suivi le mecircme mouvement comme Google avec une prime agrave 1337 $ ce qui en fera sourire certains car signifie laquo leet raquo so-it eacutelite Information de derniegravere minute Google vient drsquoaugmenter la prime agrave 31137 $
Un add-on Mozilla qui reacutecupegravere vos mots de passeDe nombreux add-ons au navigateur Internet Firefox ont paru il y a quelques jours dont le laquo Mozilla Sniffer raquo servant agrave intercepter les logins passwords et donneacutees soumis agrave nrsquoimporte quel site les envoyant par la suite
agrave une machine distante Cet add-on a eacuteteacute uploadeacute le 6 juin et la compagnie deacutenombre agrave ce jour pregraves de 3300 laquo utilisateurs raquo de ce logiciel malveillant
Le code de lrsquoadd-on nrsquoavait pas eacuteteacute veacuterifieacute mais seu-lement scanneacute agrave la recherche drsquoun quelconque virus Seul un comportement anormal de lrsquoadd-on est deacutetecteacute en analysant le code
Mozilla aux aguets depuis ces derniers temps a deacute-celeacute un autre add-on nommeacute laquo CoolPreviews raquo dont le code contient une vulneacuterabiliteacute permettant agrave une per-sonne mal intentionneacutee drsquoexeacutecuter du code agrave distan-ce et ainsi avoir la main sur la victime infecteacutee par cet add-on
Degraves lors pregraves de 177 000 ont la version de laquo Cool-Previews raquo installeacutee Crsquoest donc un vecteur drsquoattaque qui nrsquoest en aucun cas agrave neacutegliger et qui risque de faire de nombreux deacutegacircts tout en nuisant agrave lrsquoimage du navi-gateur
Un ancien employeacute du MI6 coupable de fuites drsquoinformationsDaniel Houghton 25 ans a eacuteteacute au cœur de lrsquoactualiteacute au cours des derniegraveres semaines Il a travailleacute de 2007 agrave 2009 dans les services de renseignement du Roy-aume-Uni Il eacutetait rattacheacute au MI6 en charge de la pro-tection du pays contre des attaques terroristes etc Fin 2009 Daniel Houghton a deacutecideacute de deacutemissionner em-portant avec lui de nombreuses informations suscep-tibles de se reacuteveacuteler tregraves inteacuteressantes aux yeux de per-sonnes cherchant agrave nuire au Royaume-Uni
Il a eacuteteacute accuseacute il y a quelques semaines drsquoavoir voulu deacutevoiler contre de lrsquoargent des informations classeacutees confidentielles dont une liste de pregraves de 700 membres appartenant aux services de renseignements etc
hakin9orgfr 7
ACTUALITEacuteS
Daniel avait chercheacute agrave vendre ces informations aux services de renseignements allemands demandant pregraves de 2 millions de pound Finalement apregraves de nomb-reuses neacutegociations il a baisseacute le prix agrave 900 000 pound La transaction devait ecirctre reacutealiseacutee agrave Londres mais Daniel a eacuteteacute arrecircteacute juste avant niant les faits Depuis il a plaideacute coupable Le jugement aura lieu le 3 septembre en at-tendant de nombreuses investigations continuent
Skype le secret reacuteveacuteleacute au grand jourLe 7 juillet aura eacuteteacute une date noire pour Skype crsquoest agrave cette date que Sean OrsquoNeil a publieacute agrave lrsquoaide drsquoune eacutequi-pe de laquo reverse engineers raquo lrsquoalgorithme drsquoencryptage de Skype
Cet algorithme eacutetait tenu secret par lrsquoeacutequipe de Skype Or maintenant il est reacuteveacuteleacute au grand jour
Sean OrsquoNeil explique sur son blog (article qui peut ecirctre visualiseacute gracircce au cache de Google car supprimeacute de son blog) que son code avait eacuteteacute voleacute il y a que-lques mois eacutetait utiliseacute par des pirates informatiques reacutealisant du spam etc Degraves lors Skype eacutetait remonteacute jusqursquoagrave lui lrsquoaccusant de jouer un rocircle preacutedominant avec les spammers etc
Quant agrave lui pour se justifier il propose du code en C tout en argumentant son acte il souhaite rendre Skype plus seacutecuriseacute
Quand les Hackers rencontrent les laquo pirates raquo Le fameux site de partage de fichiers a eacuteteacute victime drsquoun groupe de chercheurs argentins sous la direc-tion de Ch Russo Ils ont reacuteussi agrave acceacuteder agrave lrsquointerface drsquoadministration du site gracircce agrave de nombreuses vulneacute-rabiliteacutes telles que des SQL Injection
Degraves lors ils ont pu avoir accegraves agrave la base de donneacutees qui recensait pregraves de 4 millions drsquoutilisateurs 4 millions drsquoutilisateurs repreacutesentent un nombre tregraves important surtout pour lrsquoune des plates-formes les plus connues et les plus meacutediatiseacutees vu le nombre de procegraves auxquels ses dirigeants ont ducirc faire face Ces informations sont une veacuteritable mine drsquoor pour les personnes cherchant agrave mettre la main sur les utilisateurs pratiquant le teacuteleacutechar-gement Les chercheurs argentins pouvaient reacutealiser de nombreuses interactions comme par exemple creacuteer supprimer modifier ou encore voir les informations sur les utilisateurs incluant tous leurs torrents hellip
Russo a expliqueacute dans un communiqueacute que lui et ses associeacutes nrsquoont ni alteacutereacute ni supprimeacute une quelconque in-formation dans la base de donneacutees
Parallegravelement il a assureacute qursquoil ne vendrait aucune in-formation reacutecupeacutereacutee lors de cette intrusion Il souhaitait seulement deacutemontrer que les informations des memb-res nrsquoeacutetaient pas bien proteacutegeacutees et qursquoil eacutetait tout agrave fait possible de les reacutecupeacuterer Heureusement ces informa-tions ne soient pas tombeacutees dans de mauvaises mains
ce qui aurait provoqueacute un incident majeur sur toute cette communauteacute
Des problegravemes pour le FBI et lrsquoencryptage de plusieurs disques durs En juillet 2008 la police avait saisi 5 disques durs ap-partenant agrave un banquier breacutesilien Daniel Dantas sou-pccedilonneacute de nombreux crimes
Les autoriteacutes breacutesiliennes ont constateacute que les don-neacutees eacutetaient chiffreacutees
De nombreuses analyses ont reacuteveacuteleacute que les fichiers avaient eacuteteacute encrypteacutes agrave lrsquoaide de deux algorithmes dont TrueCrypt et un autre non identifieacute (certainement fondeacute sur 256-bit AES) De plus il nrsquoexiste pas (comme au Royaume-Uni par exemple) de loi forccedilant lrsquoutilisateur agrave donner sa cleacute de cryptage
Malgreacute un an drsquoeacutetudes et de tests le FBI nrsquoa pas reacuteussi agrave casser le systegraveme En conseacutequence sans les preuves informatiques des fraudes financiegraveres les enquecircteurs auront des difficulteacutes agrave poursuivre DANTAS
Les prochains mois nous permettront drsquoy voir un peu plus clair agrave ce sujet tout en suivant lrsquoaffaire
Cracking de password une nouvelle deacutecouverte surprenante Les chercheurs Nate Lawson et Taylor Nelson preacuteten-dent avoir deacutecouvert une faille de seacutecuriteacute qui affecte de nombreux systegravemes drsquoauthentification tels que Oauth ou encore OpenID Ces systegravemes sont tregraves fortement utiliseacutes sur des sites tels que Twitter hellip
Les cryptographes sont informeacutes des attaques dites laquo temporelles raquo depuis de nombreuses anneacutees ma-is nrsquoont jamais pris la menace tregraves au seacuterieux car elle semblait trop difficile agrave mettre en place sur un reacuteseau (problegravemes de latence etc ) puisque cette attaque est fondeacutee sur le temps
Lrsquoarticle preacutesente un cas inteacuteressant certains systegravemes veacuterifient que le login password correspond agrave chaque nouvelle insertion de caractegravere
Degraves lors les chercheurs en arrivent agrave la conclusion qursquoun mauvais essai de login arrive plus vite qursquoun login ougrave le premier caractegravere du login est bon (Le systegraveme renvoie un mauvais login degraves qursquoil deacutetecte un mauvais caractegravere)
Gracircce agrave ce facteur de laquo temps raquo il est possible de de-viner un mot de passe et ainsi contourner les systegravemes drsquoauthentification
Nate et Taylor souhaitent discuter de ces attaques agrave la Black Hat confeacuterence qui se tiendra fin aoucirct agrave Las Ve-gas Drsquoautres articles ou documentations nous en diront certainement plus sur lrsquoexploitation drsquoattaque de type laquo temporelle raquo
News reacutedigeacutes par Paul AMAR
72010
DOSSIER
Le monde de la teacuteleacutephonie est plus que jamais en eacutevolution ces derniegraveres anneacutees En effet apregraves le passage de la teacuteleacutephonie traditionnelle vers la
VoIP (voix sur reacuteseau IP) un grand nombre drsquoacteurs plus ou moins historiques proposent maintenant des solutions apportant des services agrave valeurs ajouteacutees
Alcatel fait toujours partie des leaders du marcheacute mecircme srsquoil a perdu des parts non neacutegligeables sur ce marcheacute drsquoautres ont reacuteussi agrave exploiter davantage lrsquoIP comme Cisco Avaya Mitelhellip ou encore un autre qursquoil nrsquoest plus neacutecessaire de preacutesenter Asterisk sous toutes ses formeshellip
Il y a encore 5 ans Asterisk repreacutesentait ~02 de parts de marcheacute puis en quelques anneacutees pregraves de 4 et maintenant il atteint pregraves de 7 du marcheacute mondial en 2010 Certains opeacuterateurs utilisent mecircme un noyau Asterisk pour leurs offres Centrex et ont agrave minima valideacute lrsquoAsterisk V14 etou V16 pour leurs solutions laquo Trunk-SIP raquo Asterisk beacuteneacuteficie maintenant drsquoune reacutesonance toute particuliegravere mecircme aux yeux des grandes entre-prises
Autant dire que la communauteacute Asterisk est compara-ble aux autres communauteacutes telles que Squid MySQL Apachehellip qursquoelle se porte bien et a encore de beaux jours devant elle
Ce succegraves est principalement ducirc au caractegravere laquo Open Source raquo drsquoAsterisk et agrave une certaine maturiteacute technologi-que qui lui permet maintenant drsquoecirctre aussi fiable et per-formant que les solutions leader De plus lrsquoensemble des fonctionnaliteacutes proposeacutees srsquoeacutetoffent agrave chaque version agrave
tel point qursquoaujourdrsquohui Asterisk possegravede des fonctions qui ne sont pas aux catalogues des grands constructeurs et surtout adaptables laquo sur mesure raquo agrave votre environne-ment afin de lrsquointerfacer dans des systegravemes drsquoinforma-tions complexes La flexibiliteacute drsquoAsterisk est un atout ma-jeur face aux autres solutions packageacutees
Asterisk permet notamment en plus de tous les servi-ces dit laquo classiques raquo de mettre en place des services tels que softphone voicemail MEVO PoPC statisti-que (CDR) call center Fax-mail interface speacutecifique IVR Confeacuterence provisionning automatique SMS passerelle mobile enregistrement text-To-Speech ACD Ldap taxation CRM supervision annuaire re-connaissance du numeacutero depuis lrsquoexteacuterieur gestion de Preacutesence des files drsquoattentes messagerie instantaneacutee couplage avec Wifi et DECT IP couplage avec visio-confeacuterence le chuchotement CTI T9 annuaire unifieacute musique drsquoattentehellip
Cependant la ToIPVoIP souffre encore drsquoune mau-vaise image drsquoun point de vue seacutecuriteacutehellipEn effet les reacuteseaux voix historiquement isoleacutes fusionnent de plus en plus avec les reacuteseaux de donneacutees ils sont donc plus sensibles aux attaques drsquoun piratage Les impacts peu-vent ecirctre variables confidentialiteacute dysfonctionnements usurpations eacutecoute changements des annonces de lrsquoIPbx accegraves aux messageries vocales contournement de la politique de seacutecuriteacute DATA (backdoors) perte fi-nanciegravere etchellip alors qursquoil existe un ensemble de solu-tions qui permettent de maitriser la seacutecuriteacute de son sys-tegraveme de teacuteleacutephonie sur IP
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
Asterisk est une solution Open Source innovante qui a fait ses preuves Historiquement conccedilu par un eacutetudiant en 1999 Mark Spencer avait un recircve il souhaitait deacutemocratiser la teacuteleacutephonie sur IP et concurrencer les plus grands Aujourdrsquohui utiliseacute par des particuliers comme de grandes entreprises et posseacutedant un reacuteel potentiel drsquoeacutevolution Asterisk apporte un nouveau souffle agrave la ToIPhellip
Cet article expliquehellipbull Les fondamentaux drsquoAsterisk bull Comment exploiter les vulneacuterabiliteacutes protocolaires de la ToIPbull Les meacutethodes drsquoattaques et les outilsbull Les bonnes pratiques pour se proteacuteger
Ce qursquoil faut savoirhellipbull Notion de reacuteseau et des protocolesbull Notion de ToIP
David Hureacute
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 9
au moins eacutequivalents agrave celui des anciens systegravemes de teacuteleacutephonie traditionnels
Nous allons en deacutetailler certains drsquoentre eux en com-menccedilant par la seacutecuriteacute de lrsquoOS qui supporte votre IPBX geacuteneacuteralement sous noyau Linux il existe deux eacutecoles Il y a ceux qui optimisent inteacutegralement lrsquoOS utiliseacute tech-nique tregraves efficace et beacuteneacuteficie drsquoavantages indeacuteniables comme les performances la seacutecuriteacute optimale la sta-biliteacute accruehellip et reacutepondent agrave des besoins speacutecifiques voire industriels
Cependant cette technique neacutecessite des compeacute-tences avanceacutees En effet partir drsquoun LFS laquo Linux from scratch raquo et compiler uniquement les modules drivers et paquets neacutecessaires afin drsquooptimiser inteacutegralement le noyau nrsquoest pas donneacute agrave tous cela reste manuel long et complexe et de plus aucun suivi de version nrsquoest applicable automatiquement Il faut mettre en place sa propre gestion des deacutependanceshellip
De lrsquoautre cocircteacute il y a ceux qui souhaitent mettre en place simplement et rapidement un systegraveme de base (Debian CentOs Red Hatehellip) ou mieux utilisent des variantes comme le mode laquo Hardened raquo (HLFS) afin de renforcer nettement le niveau de seacutecuriteacute Ce mo-de integravegre nativement des meacutecanismes de seacutecuriteacute sur la pile IP de lrsquoOS limite lrsquoexeacutecution des binaires des scripts et autres attaques et nutilise que les drivers neacutecessaireshellip coupleacutes uniquement aux services acti-veacutes par lrsquoadministrateur et utiles agrave la ToIP comme par exemple le WEB DHCP NTP TFTP lrsquoAsterisk le Ma-nager Asterisk SSH relay mailhellip En reacutesumeacute la plu-part des personnes concerneacutees utilisent simplement un systegraveme de base et se dirigent vers un laquo Harde-ned raquo lorsqursquoelles sont sensibles agrave la seacutecuriteacute Le LSF est geacuteneacuteralement reacuteserveacute au laquo Geek raquo aux construc-teurs etou eacutediteurs
Dans un autre registre le parameacutetrage drsquoAsterisk joue un rocircle essentiel dans la seacutecuriteacute de la solution de teacute-
Dans certaines actualiteacutes beaucoup ont entendu par-ler des enregistrements de lrsquoaffaire laquo Bettencourt raquohellip ou encore ont lu avec stupeacutefaction que certains opeacute-rateurs eacutetrangers nrsquoheacutesitaient pas agrave pirater des entre-prises drsquoautres pays afin de mettre en place des laquo pee-ring raquo de masse leur permettant de revendre des milliers de minutes par mois pour lrsquousage de leurs clientshellip
Drsquoautre part moins preacutesente en France lrsquoarnaque aux numeacuteros surtaxeacutes et agrave lusurpation didentiteacute le pro-ceacutedeacute est simple il consiste agrave appeler une personne en modifiant le numeacutero drsquoappelant par celui de quelqursquoun drsquoautre peu drsquoopeacuterateurs controcirclent ce type drsquoexerci-ce et ce controcircle est rendu quasi impossible dans le cas drsquoune communication VoIP internethellip
Une autre arnaque porte sur la modification de la synthegravese vocale afin de se faire passer pour quelqursquoun drsquoautre par le biais drsquoun simple outil de modulation de freacutequence vocale outil de plus en plus eacutevolueacute et qui permet par exemple de transformer la voix drsquoune fem-me en celle dun homme Les IPBX entreprise actuel-lement sur le marcheacute ne sont pas eacutequipeacutes aujourdrsquohui de meacutecanisme de laquo controcircle de conformiteacute raquo de la voix mais il est possible dans le cadre drsquoaffaires judiciaires de veacuterifier si une voix a eacuteteacute ou non modifieacute dans un en-registrement
A ce sujet drsquoailleurs seuls les opeacuterateurs sont contraints par commissions rogatoires deacutelivreacutees par les services judiciaires agrave mettre en place des eacutecoutes teacuteleacutephoniques Certaines techniques laquo drsquointerception leacutegale de trafic raquo se standardisent mecircme au niveau in-ternational comme le laquo Lawful interception raquo de la Com-munications Assistance for Law Enforcement Act (CA-LEA ou ETSI)
Cependant ne soyons pas alarmiste ce type drsquoatta-que neacutecessite une expertise et chacun agrave son niveau dispose de moyens plus ou moins eacutevolueacutes de se proteacute-ger avec des niveaux de seacutecuriteacute tregraves satisfaisants ou
Figure 1 Hausse rapide des vulneacuterabiliteacutes depuis 2006 (source NVD)
0
10
20
30
40
50
60
Nombre total de vulneacuterabiliteacutes de la voix sur IP
2002 2003 2004 2005 2006 2007 2008
7201010
DOSSIER
leacutephonie sur IP En effet lrsquoAsterisk est un service fondeacute sur un ensemble de fichiers de configuration en com-menccedilant par le laquo SIPconf raquo permettant de configurer les comptes SIP utilisateurs (SDA nombre drsquoappels si-multaneacutes max Nom Preacutenomhellip) les contextes auxquels ils sont rattacheacutes les CODEC agrave utiliser la gestion des droits drsquoappelshellip crsquoest ce fichier qui par exemple vous autorise ou non agrave appeler un 06 08 lrsquointernationalhellipet liste les services de ToIP que vous pourrez utiliser (dou-ble appel conf call voicemailhellip)
De plus le fichier laquo extensionconf raquo permet drsquoeacutetablir un dial plan drsquoautres types de contextes (interneexter-ne) des macroshellip la gestion des renvois pour autori-ser ou non un renvoi vers 06 ou 08
Une partie de la seacutecuriteacute du service laquo Asterisk raquo sappuie entre autres sur le laquo managerconf raquo Ce fichier repreacutesente lrsquoadministration du noyau Asterisk (Figure 2 laquo manager Asterisk raquo) Une des bonnes pratiques consiste agrave creacuteer uniquement un compte laquo super Administrateur raquo et agrave bien parameacutetrer le ni-veau de droit des utilisateurs lambda (users) et des autres administrateurs deacuteleacutegueacutes (Originate) Voici la synthegravese des eacuteleacutements parameacutetrables via le laquo mana-ger raquo
Nb Il est entre autres recommandeacute drsquoutiliser le SSH et drsquoactiver le mode de connexion SSL agrave lrsquointerface WEB du manager ou simplement de la deacutesactiver
LrsquoAsterisk sappuie aussi sur drsquoautres fichiers de configuration comme le laquo CDRconf raquo pour la ges-tion et le parameacutetrage des logs du call flowhelliple fichier laquo CDRmanagerconf raquo le laquo H323conf raquo laquo iaxconf raquo laquo queuesconf raquo etchellip
Geacuteneacuteralement et de plus en plus les utilisateurs comme les administrateurs sont friands drsquoutiliser une interface WEB (surcouche drsquoadministration) pour le parameacutetrage et lrsquoadministration de lrsquoAsterisk et de ses services Elle doit beacuteneacuteficier de diffeacuterents niveaux de seacutecuriteacute A minima trois niveaux par exemple laquo Root raquo laquo Admin raquo laquo utilisateur raquo qui permet drsquoauto-riser ou pas certaines modifications (ex modification
adresse mail SDA plan de SDA renvoi supervision) sans passer directement par les fichiers de configura-tion drsquoAsterisk
Il est aussi important de seacutelectionner le bon laquo dri-ver TAPI raquo pour les postes de travail et le click to dial par exemple afin de ne pas ecirctre obligeacute drsquooctroyer des droits suppleacutementaires sur le manager agrave un utilisateur lorsqursquoil tente drsquoutiliser cette fonction (De plus si quel-qursquoun eacutecoute les flux ou utilise un sniffer il a de grandes chances de reacutecupeacuterer le mot de passe administrateur du managerhellipil est donc preacutefeacuterable drsquoutiliser le mode laquo originate raquo)
Drsquoautre part le mode drsquoauthentification des teacuteleacutepho-nes IP reste somme toute assez basique puisque cer-tains flux sont en clairs et puisque le challenge est reacutealiseacute avec un hash simple en MD5 et pas de chiffre-menthellip Ce qui renforce lrsquoimportance de la politique de mot de passe
Pour finir les nouvelles releases en test beacuteneacuteficient deacutejagrave de certaines reacuteponses (V162) et drsquoavanceacutees en matiegravere de seacutecuriteacute comme le support TLS pour le SRTP le renforcement de certains meacutecanismes de seacute-curiteacute ou encore le support du T140 pour les messages texte le support du SS7 dans DAHDI lrsquoameacutelioration des CDR de la gestion du Dial Plan du laquo MeetMe raquo des files drsquoattente des nouvelles fonctions SIP et bien drsquoautreshellip
Les problegravemes protocolairesLa ToIP est maintenant une partie inteacutegrante des reacute-seaux LAN (voir la rubrique sites web) elle est donc soumise agrave un ensemble de probleacutematiques purement reacuteseau dont voici quelques exemples quelques soit les constructeurshellip
bull Le Deacuteni de service (DoS) sur VoIP qui consiste agrave lancer une multitude de requecirctes laquo flooding SIP raquo laquo TCP syn raquo ou laquo UDP raquo (par exemple deman-des drsquoenregistrement et dappelshellip) jusquagrave satura-tion des services VoIP Ces types dattaques ciblent souvent les serveurs les passerelles les proxy ou encore les teacuteleacutephones IP qui voient leurs res-sources sont rapidement eacutepuiseacutees par ces requecirc-tes dont lrsquoobjectif est de perturber voire mettre hors service le systegraveme cibleacute Une autre attaque eacutegale-ment reacutepandue consiste agrave envoyer des commandes laquo BYE raquo au teacuteleacutephone afin de mettre fin agrave la conver-sation en courshellip
bull La manipulation du contenu multimeacutedia et des si-gnaux est une attaque qui permet drsquoinjecter un fi-chier son dans un flux RTP par le biais drsquoune atta-que laquo RTP Insertsound raquo
bull Attaque par laquo relecture raquo ou laquo Deacutetournement den-registrement raquo de sessions autoriseacutees obtenues gracircce agrave une analyse de trame par un laquo sniffer raquo sur le reacuteseau ou par interception de trafic Cette atta-Figure 2 laquo manager Asterisk raquo
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 11
que se deacuteroule au niveau du protocole SIP elle uti-lise la commande laquo Register raquo qui sert agrave localiser un utilisateur par rapport agrave son adresse IP Le pi-rate peut alors rejouer ces sessions de laquo regis-ter raquo valide en modifiant uniquement lrsquoadresse IP de destination en sa faveurhellipCette attaque est due au fait que le protocole SIP transite une partie des informations en clair il est donc possible de met-tre en place du SIPS qui integravegre des meacutecanismes drsquoauthentification et assure lrsquointeacutegriteacute des donneacutees
bull Le laquo Man in the Middle raquo (figure 3 exemple drsquoeacutechange protocolaire) (MITM) est une des atta-ques les plus connues elle permet agrave lrsquoassaillant de se positionner entre le client et le serveur afin drsquoin-tercepter les flux cibleacutes qui sont eacutechangeacutes Le pi-rate usurpe alors lrsquoadresse MAC (spoof MAC) de ces 2 parties par lrsquoempoisonnement du cache ARP des switches (ex Ettercap + plugin laquo chk_poiso-ning raquo) afin drsquoecirctre transparent dans ces eacutechanges Les donneacutees transitent alors au travers du systegraveme pirate Dans le cas de la ToIP cette technique est utiliseacutee pour laquo lrsquoEavesdropping raquo (laquo Oreille indiscregrave-
te raquo) lui permettant ainsi drsquoeacutecouter et drsquoenregistrer les conversations entre les interlocuteurs mais aus-si de reacutecupeacuterer un ensemble drsquoinformations confi-dentielles cette technique est aussi utiliseacutee pour drsquoautres protocoles (SSL DNS SSHhellip)
bull Le laquo switch jamming raquo (figure 4 ARP spoofing at-taques) est une attaque qui consiste agrave saturer le plus rapidement possible les tables de commu-tation drsquoun commutateur avec des milliers de pa-quets contenant de fausses adresses MAC (floo-ding MAC) dans le but de le transformer en laquo mode reacutepeacuteteur raquo (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports Nb cette attaque ne fonctionne pas avec tous les commutateurs et elle est geacuteneacuteralement peu discregrave-tehellip
bull La deacuteviation par un paquet ICMP consiste agrave utiliser un geacuteneacuterateur de paquet du type laquo frameipexe raquo (disponible sur internet) et agrave forger ses propres pa-quets ICMP de deacuteviation (type 5) agrave destination du client afin de lui indiquer que la route utiliseacutee nrsquoest pas optimale et lui communiquer par la mecircme occa-
Figure 3 exemple drsquoeacutechange protocolaire
Client Attacker Server
Alice Proxy 1 Proxy 2 Bob
INVITE
Trying
Ringing
OK
INVITE
Trying
Ringing
OK
INViTE
Ringing
OK
AC K
Communication multimeacutedia
BYE
OK
7201012
DOSSIER
sion la nouvelle route qui permettra de rediriger les flux vers un hocircte pirate qui ferait office de passe-relle Lrsquoobjectif de cette attaque est multiple eacutecou-te enregistrement (comme pour MITM) DoShellip Il est important de noter que cette attaque ne per-met pas de rediriger le trafic dune connexion entre deux machines du mecircme reacuteseau local (mecircme plan adresse IP) puisque le trafic eacutechangeacute ne passe pas par une passerelle
bull laquo VLAN Hopping raquo consiste agrave deacutecouvrir le Ndeg de VLAN attribueacute agrave la ToIP (en reacutecupeacuterant la VLAN Database utilisation drsquoun sniferhellip) dans un envi-ronnement LAN et de marquer des trames Ether-net directement dans ce VLAN en forgeant ses pro-pres trames Cette technique permet de srsquoaffranchir drsquoune partie de la seacutecuriteacute associeacutee aux VLANshellip(label spoofing)
bull Dans certains cas un simple laquo brute force raquo sur le serveur TFTP laquo officiel raquo permet de teacuteleacutecharger la configuration complegravete drsquoun eacutequipement et drsquoap-prendre un certain nombre drsquoeacuteleacutementshellip
bull En SIP les eacutequipements beacuteneacuteficient drsquoune reacuteelle in-telligence embarqueacutee contrairement aux MGCP par exemplehellip il est donc possible de demander agrave un teacute-leacutephone laquo drsquoafficher raquo lors drsquoun appel agrave son destinatai-re un numeacutero de teacuteleacutephone diffeacuterent du sien En inter-ne cela nrsquoa que peu drsquoeffet Pourtant une personne pourrait preacutetendre appeler depuis le centre de seacutecuri-teacute ou le bureau du directeurhellip et demander lrsquoexeacutecution drsquoactions particuliegraveres par exemple De lrsquoexteacuterieur ecirctre discret se faire passer pour quelqursquoun autre ou en-core afficher systeacutematiquement pour tous les appels sortants un numeacutero tiers pirate (modification sur pas-serelle ou IPbx) Lorsque les destinataires tenteront de recontacter leurs collegravegues etou partenaires en faisant laquo BIS raquo ou rappeler dans lrsquohistorique des ap-pels ils tomberont systeacutematiquement sur le numeacutero (payant) qui eacutetait afficheacute (ex 14euro par appel)
Ports geacuteneacuteralement utiliseacutes en ToIPTFTP UDP 69MGCP UDP 2427LDAP TCP 389Backhaul (MGCP) UDP 2428TapiJtapi TCP 2748http TCP 808080SSL TCP 443SCCP TCP 3224Skinny TCP 2000-2002SNMP UDP 161SNMP Trap UDP 162DNS UDP 53SIP TCP 5060SIPTLS TCP 5061H323 RAS TCP 1719H323 H225 TCP 1720H323 H245 TCP 11000-11999H323 Gatekeeper Discovery UDP 1718RTP 16384-32767NTP UDP 123
Ensuite au niveau des applications
bull Apregraves avoir ameacutelioreacute la seacutecuriteacute sur vos reacuteseaux et vos protocoles il reste neacuteanmoins drsquoautres points noirs comme les interfaces graphiques des IPbx lrsquousage du mode HTTPS nrsquoest pas forceacute voire non activeacute
bull De plus au niveau des stations de travail lrsquoauthen-tification aux pages drsquoadministrations de lrsquoIPbx etou des interfaces utilisateurs peut ecirctre coupleacutee agrave des cookies ou du NTLM qui ne sont pas forcement un gage de seacutecuriteacute et encore moins quand lrsquoutilisa-teur demande agrave son navigateur de garder les mots de passe en meacutemoirehellip
bull Drsquoautre part il existe un nombre de failles etou de vulneacuterabiliteacutes non neacutegligeable directement sur
Figure 4 ARP spoofing attaques
Utilisateur 1 Utilisateur 2
ltlt Spoof MacAddress gtgt
ltlt Spoof MacAddress gtgt
Attaquantltlt Man in
the Middle gtgt
ltlt SwitchJamming gtgt
Ethernet Switch
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 13
les interfaces des IPbx exeacutecution forceacutee de script comme le laquo cross site scripting raquo ou autres la falsi-fication des requecirctes inter-sites injections de don-neacuteeshellip
bull Plus simplement par deacutefaut les eacutequipements ToIP beacuteneacuteficient de services standard activeacutes (ex tel-net ouvert port SNMP et readwrite avec commu-nity name par deacutefaut interface Web de configura-tion de lrsquoeacutequipement permettant la modification de la configuration en http reacutecupeacuteration drsquoinformations directes statistiques reboot agrave distance port de troubleshooting authentification basique Services echo et time ouvertshellip) Toutes ces inattentions sur les eacutequipements facilitent souvent les actions dune personne mal intentionneacuteehellip
Quelques techniques utiliseacutees par les piratesGeacuteneacuteralement un simple laquo Snifer raquo sur votre LAN per-mettra agrave un pirate de reacutecupeacuterer une multitude drsquoinforma-tions telles que les protocoles utiliseacutes sur votre reacuteseau (CDP STP DNS DHCP LDAP MAPIhellip) et drsquoobtenir des renseignements sur votre plan adressage IP vos VLANs codecs utiliseacutes utilisateurs login mot de pas-se deacutecouverte de vos infrastructures de la topologie la marque des eacutequipements les IOS vos serveurs leurs OS et versions version des applicationshellip
bull Le ldquofuzzingrdquo est une meacutethode permettant de tester les logiciels et de mettre en eacutevidence des dysfonc-tionnements potentiels afin de constater la reacuteaction du systegraveme lorsquil reccediloit de fausses informations Cette meacutethode utilise un certain nombre drsquooutils de seacutecuriteacute utiliseacutes notamment lors drsquoaudits mais cer-taines personnes mal intentionneacutees srsquoen servent dans le but de trouver et exploiter des failles (comp-te administrateur augmentation des deacutelais DOS eacutecoutehellip)
bull Spam VoIP ou SPIT (Spam Over Internet Tele-phony) - le SPIT est comme son nom lrsquoindique un SPAM dont lobjectif est la diffusion dun mes-sage publicitaire en initiant etou relayant un maxi-mum drsquoappels agrave lrsquoaide de laquo Bots raquo agrave destination de millions dutilisateurs VoIP depuis le systegraveme com-promis Cette technique a de multiples conseacutequen-ces comme la saturation du systegraveme des MEVO des communications simultaneacuteeshellip Une utilisation deacutetourneacutee du SPIT consiste aussi agrave initier un maxi-mum drsquoappels agrave destination de Ndeg surtaxeacutes dans le but drsquoenrichir des organisations malveillanteshellip
bull Vishing (Voice Phishing) ndash Cette technique est comparable au laquo phishing raquo traditionnel dans le but drsquoinciter des utilisateurs agrave divulguer des don-neacutees confidentielles voire sensibles (par exemple noms dutilisateur mots de passe et ou numeacuteros de compte Ndeg de seacutecuriteacute sociale code bancaire adresses coordonneacuteeshellip) Dans notre cas crsquoest un
SPIT qui diffuse un message demandant aux utili-sateurs drsquoappeler un numeacutero speacutecifique pour veacuteri-fier les informations en questions et il ne reste plus qursquoagrave attendre que le teacuteleacutephone sonne Apregraves avoir reacutecupeacutereacute ces donneacutees le pirate les utilise ou les vend agrave des tiers
bull Vol dadresses eacutelectroniques ndash Lrsquousage du laquo Voi-cemail raquo se multipliant chaque utilisateur ou pres-que beacuteneacuteficie drsquoune adresse de messagerie eacutelec-tronique associeacutee cette attaque consiste agrave bom-barder le serveur de laquo voicemail raquo du domaine ToIP avec des milliers drsquoadresses mail de test (ex nomprenomclientfr nomprenomclientfr nomclientcom) Chaque adresse non valide est re-tourneacutee pour le reste lrsquoattaquant peut ainsi en deacute-duire un certain nombre drsquoadresses mail valides qursquoil pourra alors utiliser agrave sa guise pour drsquoautres at-taques (SPIT Vishing SPAM mailhellip)
bull Deacutetournement de trafic ou laquo Phreaking raquo est une meacutethode historique degraves les deacutebuts de la teacuteleacutephonie elle consiste agrave ne pas payer les communications et agrave rester anonyme En ToIP ce deacutetournement s ef-fectue apregraves reacutecupeacuteration dun couple loginpass valide ou apregraves accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone Les pionniers du laquo Phrea-king raquo (Cf figure 5) Imaginons maintenant que le pirate ait reacuteussi (par diffeacuterents moyens) agrave obtenir un login aux droits suffisants pour modifier la confi-guration de votre Ipbx Il peut alors parameacutetrer un laquo Trunck raquo agrave destination drsquoun autre IPbx et organi-ser la revente de minutes par dizaines de milliers dans un autre payshellip en utilisant le mecircme concept
Exemple de quelques outils SIPtap Wireshark VOMIT (Voice Over Misconfigured Internet Telephones) VoIPong NESUS nmap troyens divers UCSniff (ARP Saver VLAN Hopping) Digitask pour skype SIVUS Teardown Cain Backtrack Dsniff YLTI scapy SIPcrackhellip
Figure 5 accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
TABLE DES MATIERES
NewsRubrique tenue par Paul Amar 6
DOssIeRASTERISK et les techniques de hack de la teacuteleacutephonie sur IP 8David HureacuteAsterisk est une solution Open source innovante qui a fait ses preuves Aujourdrsquohui utiliseacute par des particu-liers comme de grandes entreprises et posseacutedant un reacuteel potentiel drsquoeacutevolution Asterisk apporte un nouveau souffle agrave la ToIP
sEacuteCURITEacute REacuteseAUXServeurs mandataires Comment les utiliser 16Paul Amarsrsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure A travers cet article vous allez deacutecouvrir le principe des diffeacuterents types de serve-ur mandataire dans la seacutecuriteacute informatique
Connexion seacutecuriseacutee gracircce agrave SSH 22Reacutegis SenetProteacutegez vos communications de lrsquoensemble des actes de piratage en chiffrant vos donneacutees Gracircce agrave cet article vous allez apprendre comment mettre en place le protocole seacutec-uriseacute pour les communications distantes en effet nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer to-us ces protocoles et de posseacuteder vos accegraves ssH
PRATIQUeSupervisez votre reacuteseau gracircce agrave Nagios 28Reacutegis SenetLes reacuteseaux informatiques sont devenus indispensab-les au bon fonctionnement geacuteneacuteral de nombreuses en-treprises et administrations Tout problegraveme ou panne risque drsquoavoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs infor-matiques est alors neacutecessaire et indispensable Deacutec-ouvrez comment superviser votre reacuteseau informatique gracircce agrave Nagios
72010
72010
Supervisez votre reacuteseau gracircce agrave Nagios II partie 38Reacutegis SenetCet article constitue la II egraveme partie de lrsquoarticle deacutedieacute agrave la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines windows nous al-lons voir eacutegalement celle des machines GNULinux
ATTAQUeLes attaques ltlt Evil Twin gtgt du Social Engineering 46Tim KalpUn evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance to-ut en recueillant des informations sur sa victime Nous verrons dans cet article comment gracircce auxevil Twin certains pirates parviennent agrave utiliser les meacutedias soci-aux contre nous contre des employeacutes ou les membres drsquoune famille
72010
ACTUALITEacuteS
Youtube une faille XSS deacuteceleacuteeUne vulneacuterabiliteacute de type XSS a eacuteteacute exploiteacutee sur le site Youtube aux alentours du 5 juillet 2010 Google a pat-cheacute la vulneacuterabiliteacute au plus vite eacutevitant ainsi au vecteur drsquoattaque de creacuteer de nombreux deacutegacircts Cette exploi-tation de faille srsquoest faite juste apregraves la fecircte nationale des Etats-Unis Crsquoest peut-ecirctre une simple coiumlncidence mais de nombreux pirates jouent sur les fecirctes nationa-les etc pour ainsi espeacuterer une dureacutee de vie plus longue de la vulneacuterabiliteacute les effectifs eacutetant moins nombreux le patch sera plus long agrave arriver Rappelons-nous par exemple le cas avec Twitter lrsquoanneacutee derniegravere agrave la peacute-riode de Pacircques etc
Concernant lrsquoaspect technique de la vulneacuterabiliteacute si nous tentions drsquoinseacuterer des balises HTML seule la premiegravere eacutetait filtreacutee Degraves lors il suffisait drsquoentrer ltscriptgtltscriptgt pour que la deuxiegraveme balise ltscriptgt soit exeacutecuteacutee car mal filtreacutee
Lrsquoattaque nrsquoa pas eu de grave reacutepercutions et nrsquoa ser-vi qursquoagrave inseacuterer des messages au sujet de la mort ficti-ve de Justin Bieber (chanteur canadien) ainsi que cer-taines redirections
En revanche les risques drsquoune XSS sont lrsquoaffichage de nombreux messages la reacutecupeacuteration des cookies et ainsi tromper la majoriteacute des internautes
Avis aux deacutetenteurs de vulneacuterabiliteacutes sur les navigateurs Mozilla ChromeMozilla a augmenteacute la reacutecompense donneacutee aux cher-cheurs en seacutecuriteacute informatique qui trouveraient des bugs dans le navigateur internet Mozilla firefox La va-leur de la laquo prime raquo est de 3 000 $ Ce systegraveme cher-che agrave valoriser le travail des chercheurs en seacutecuriteacute afin de promouvoir le cocircteacute laquo lucratif raquo que les bugs trou-veacutes apporteraient et ainsi pallier le problegraveme de laquo full-disclosure raquo (soit divulguer la faille sur internet) Cette initiative a eacuteteacute lanceacutee deacutebut 2004 et semble ecirctre suivie par bon nombre de personnes
Cependant le bug doit avoir certaines particulariteacutes notamment ne pas avoir deacutejagrave eacuteteacute reporteacute ecirctre de type laquo remote exploit raquo et dans la derniegravere version du logi-ciel
En parallegravele drsquoautres compagnies ont suivi le mecircme mouvement comme Google avec une prime agrave 1337 $ ce qui en fera sourire certains car signifie laquo leet raquo so-it eacutelite Information de derniegravere minute Google vient drsquoaugmenter la prime agrave 31137 $
Un add-on Mozilla qui reacutecupegravere vos mots de passeDe nombreux add-ons au navigateur Internet Firefox ont paru il y a quelques jours dont le laquo Mozilla Sniffer raquo servant agrave intercepter les logins passwords et donneacutees soumis agrave nrsquoimporte quel site les envoyant par la suite
agrave une machine distante Cet add-on a eacuteteacute uploadeacute le 6 juin et la compagnie deacutenombre agrave ce jour pregraves de 3300 laquo utilisateurs raquo de ce logiciel malveillant
Le code de lrsquoadd-on nrsquoavait pas eacuteteacute veacuterifieacute mais seu-lement scanneacute agrave la recherche drsquoun quelconque virus Seul un comportement anormal de lrsquoadd-on est deacutetecteacute en analysant le code
Mozilla aux aguets depuis ces derniers temps a deacute-celeacute un autre add-on nommeacute laquo CoolPreviews raquo dont le code contient une vulneacuterabiliteacute permettant agrave une per-sonne mal intentionneacutee drsquoexeacutecuter du code agrave distan-ce et ainsi avoir la main sur la victime infecteacutee par cet add-on
Degraves lors pregraves de 177 000 ont la version de laquo Cool-Previews raquo installeacutee Crsquoest donc un vecteur drsquoattaque qui nrsquoest en aucun cas agrave neacutegliger et qui risque de faire de nombreux deacutegacircts tout en nuisant agrave lrsquoimage du navi-gateur
Un ancien employeacute du MI6 coupable de fuites drsquoinformationsDaniel Houghton 25 ans a eacuteteacute au cœur de lrsquoactualiteacute au cours des derniegraveres semaines Il a travailleacute de 2007 agrave 2009 dans les services de renseignement du Roy-aume-Uni Il eacutetait rattacheacute au MI6 en charge de la pro-tection du pays contre des attaques terroristes etc Fin 2009 Daniel Houghton a deacutecideacute de deacutemissionner em-portant avec lui de nombreuses informations suscep-tibles de se reacuteveacuteler tregraves inteacuteressantes aux yeux de per-sonnes cherchant agrave nuire au Royaume-Uni
Il a eacuteteacute accuseacute il y a quelques semaines drsquoavoir voulu deacutevoiler contre de lrsquoargent des informations classeacutees confidentielles dont une liste de pregraves de 700 membres appartenant aux services de renseignements etc
hakin9orgfr 7
ACTUALITEacuteS
Daniel avait chercheacute agrave vendre ces informations aux services de renseignements allemands demandant pregraves de 2 millions de pound Finalement apregraves de nomb-reuses neacutegociations il a baisseacute le prix agrave 900 000 pound La transaction devait ecirctre reacutealiseacutee agrave Londres mais Daniel a eacuteteacute arrecircteacute juste avant niant les faits Depuis il a plaideacute coupable Le jugement aura lieu le 3 septembre en at-tendant de nombreuses investigations continuent
Skype le secret reacuteveacuteleacute au grand jourLe 7 juillet aura eacuteteacute une date noire pour Skype crsquoest agrave cette date que Sean OrsquoNeil a publieacute agrave lrsquoaide drsquoune eacutequi-pe de laquo reverse engineers raquo lrsquoalgorithme drsquoencryptage de Skype
Cet algorithme eacutetait tenu secret par lrsquoeacutequipe de Skype Or maintenant il est reacuteveacuteleacute au grand jour
Sean OrsquoNeil explique sur son blog (article qui peut ecirctre visualiseacute gracircce au cache de Google car supprimeacute de son blog) que son code avait eacuteteacute voleacute il y a que-lques mois eacutetait utiliseacute par des pirates informatiques reacutealisant du spam etc Degraves lors Skype eacutetait remonteacute jusqursquoagrave lui lrsquoaccusant de jouer un rocircle preacutedominant avec les spammers etc
Quant agrave lui pour se justifier il propose du code en C tout en argumentant son acte il souhaite rendre Skype plus seacutecuriseacute
Quand les Hackers rencontrent les laquo pirates raquo Le fameux site de partage de fichiers a eacuteteacute victime drsquoun groupe de chercheurs argentins sous la direc-tion de Ch Russo Ils ont reacuteussi agrave acceacuteder agrave lrsquointerface drsquoadministration du site gracircce agrave de nombreuses vulneacute-rabiliteacutes telles que des SQL Injection
Degraves lors ils ont pu avoir accegraves agrave la base de donneacutees qui recensait pregraves de 4 millions drsquoutilisateurs 4 millions drsquoutilisateurs repreacutesentent un nombre tregraves important surtout pour lrsquoune des plates-formes les plus connues et les plus meacutediatiseacutees vu le nombre de procegraves auxquels ses dirigeants ont ducirc faire face Ces informations sont une veacuteritable mine drsquoor pour les personnes cherchant agrave mettre la main sur les utilisateurs pratiquant le teacuteleacutechar-gement Les chercheurs argentins pouvaient reacutealiser de nombreuses interactions comme par exemple creacuteer supprimer modifier ou encore voir les informations sur les utilisateurs incluant tous leurs torrents hellip
Russo a expliqueacute dans un communiqueacute que lui et ses associeacutes nrsquoont ni alteacutereacute ni supprimeacute une quelconque in-formation dans la base de donneacutees
Parallegravelement il a assureacute qursquoil ne vendrait aucune in-formation reacutecupeacutereacutee lors de cette intrusion Il souhaitait seulement deacutemontrer que les informations des memb-res nrsquoeacutetaient pas bien proteacutegeacutees et qursquoil eacutetait tout agrave fait possible de les reacutecupeacuterer Heureusement ces informa-tions ne soient pas tombeacutees dans de mauvaises mains
ce qui aurait provoqueacute un incident majeur sur toute cette communauteacute
Des problegravemes pour le FBI et lrsquoencryptage de plusieurs disques durs En juillet 2008 la police avait saisi 5 disques durs ap-partenant agrave un banquier breacutesilien Daniel Dantas sou-pccedilonneacute de nombreux crimes
Les autoriteacutes breacutesiliennes ont constateacute que les don-neacutees eacutetaient chiffreacutees
De nombreuses analyses ont reacuteveacuteleacute que les fichiers avaient eacuteteacute encrypteacutes agrave lrsquoaide de deux algorithmes dont TrueCrypt et un autre non identifieacute (certainement fondeacute sur 256-bit AES) De plus il nrsquoexiste pas (comme au Royaume-Uni par exemple) de loi forccedilant lrsquoutilisateur agrave donner sa cleacute de cryptage
Malgreacute un an drsquoeacutetudes et de tests le FBI nrsquoa pas reacuteussi agrave casser le systegraveme En conseacutequence sans les preuves informatiques des fraudes financiegraveres les enquecircteurs auront des difficulteacutes agrave poursuivre DANTAS
Les prochains mois nous permettront drsquoy voir un peu plus clair agrave ce sujet tout en suivant lrsquoaffaire
Cracking de password une nouvelle deacutecouverte surprenante Les chercheurs Nate Lawson et Taylor Nelson preacuteten-dent avoir deacutecouvert une faille de seacutecuriteacute qui affecte de nombreux systegravemes drsquoauthentification tels que Oauth ou encore OpenID Ces systegravemes sont tregraves fortement utiliseacutes sur des sites tels que Twitter hellip
Les cryptographes sont informeacutes des attaques dites laquo temporelles raquo depuis de nombreuses anneacutees ma-is nrsquoont jamais pris la menace tregraves au seacuterieux car elle semblait trop difficile agrave mettre en place sur un reacuteseau (problegravemes de latence etc ) puisque cette attaque est fondeacutee sur le temps
Lrsquoarticle preacutesente un cas inteacuteressant certains systegravemes veacuterifient que le login password correspond agrave chaque nouvelle insertion de caractegravere
Degraves lors les chercheurs en arrivent agrave la conclusion qursquoun mauvais essai de login arrive plus vite qursquoun login ougrave le premier caractegravere du login est bon (Le systegraveme renvoie un mauvais login degraves qursquoil deacutetecte un mauvais caractegravere)
Gracircce agrave ce facteur de laquo temps raquo il est possible de de-viner un mot de passe et ainsi contourner les systegravemes drsquoauthentification
Nate et Taylor souhaitent discuter de ces attaques agrave la Black Hat confeacuterence qui se tiendra fin aoucirct agrave Las Ve-gas Drsquoautres articles ou documentations nous en diront certainement plus sur lrsquoexploitation drsquoattaque de type laquo temporelle raquo
News reacutedigeacutes par Paul AMAR
72010
DOSSIER
Le monde de la teacuteleacutephonie est plus que jamais en eacutevolution ces derniegraveres anneacutees En effet apregraves le passage de la teacuteleacutephonie traditionnelle vers la
VoIP (voix sur reacuteseau IP) un grand nombre drsquoacteurs plus ou moins historiques proposent maintenant des solutions apportant des services agrave valeurs ajouteacutees
Alcatel fait toujours partie des leaders du marcheacute mecircme srsquoil a perdu des parts non neacutegligeables sur ce marcheacute drsquoautres ont reacuteussi agrave exploiter davantage lrsquoIP comme Cisco Avaya Mitelhellip ou encore un autre qursquoil nrsquoest plus neacutecessaire de preacutesenter Asterisk sous toutes ses formeshellip
Il y a encore 5 ans Asterisk repreacutesentait ~02 de parts de marcheacute puis en quelques anneacutees pregraves de 4 et maintenant il atteint pregraves de 7 du marcheacute mondial en 2010 Certains opeacuterateurs utilisent mecircme un noyau Asterisk pour leurs offres Centrex et ont agrave minima valideacute lrsquoAsterisk V14 etou V16 pour leurs solutions laquo Trunk-SIP raquo Asterisk beacuteneacuteficie maintenant drsquoune reacutesonance toute particuliegravere mecircme aux yeux des grandes entre-prises
Autant dire que la communauteacute Asterisk est compara-ble aux autres communauteacutes telles que Squid MySQL Apachehellip qursquoelle se porte bien et a encore de beaux jours devant elle
Ce succegraves est principalement ducirc au caractegravere laquo Open Source raquo drsquoAsterisk et agrave une certaine maturiteacute technologi-que qui lui permet maintenant drsquoecirctre aussi fiable et per-formant que les solutions leader De plus lrsquoensemble des fonctionnaliteacutes proposeacutees srsquoeacutetoffent agrave chaque version agrave
tel point qursquoaujourdrsquohui Asterisk possegravede des fonctions qui ne sont pas aux catalogues des grands constructeurs et surtout adaptables laquo sur mesure raquo agrave votre environne-ment afin de lrsquointerfacer dans des systegravemes drsquoinforma-tions complexes La flexibiliteacute drsquoAsterisk est un atout ma-jeur face aux autres solutions packageacutees
Asterisk permet notamment en plus de tous les servi-ces dit laquo classiques raquo de mettre en place des services tels que softphone voicemail MEVO PoPC statisti-que (CDR) call center Fax-mail interface speacutecifique IVR Confeacuterence provisionning automatique SMS passerelle mobile enregistrement text-To-Speech ACD Ldap taxation CRM supervision annuaire re-connaissance du numeacutero depuis lrsquoexteacuterieur gestion de Preacutesence des files drsquoattentes messagerie instantaneacutee couplage avec Wifi et DECT IP couplage avec visio-confeacuterence le chuchotement CTI T9 annuaire unifieacute musique drsquoattentehellip
Cependant la ToIPVoIP souffre encore drsquoune mau-vaise image drsquoun point de vue seacutecuriteacutehellipEn effet les reacuteseaux voix historiquement isoleacutes fusionnent de plus en plus avec les reacuteseaux de donneacutees ils sont donc plus sensibles aux attaques drsquoun piratage Les impacts peu-vent ecirctre variables confidentialiteacute dysfonctionnements usurpations eacutecoute changements des annonces de lrsquoIPbx accegraves aux messageries vocales contournement de la politique de seacutecuriteacute DATA (backdoors) perte fi-nanciegravere etchellip alors qursquoil existe un ensemble de solu-tions qui permettent de maitriser la seacutecuriteacute de son sys-tegraveme de teacuteleacutephonie sur IP
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
Asterisk est une solution Open Source innovante qui a fait ses preuves Historiquement conccedilu par un eacutetudiant en 1999 Mark Spencer avait un recircve il souhaitait deacutemocratiser la teacuteleacutephonie sur IP et concurrencer les plus grands Aujourdrsquohui utiliseacute par des particuliers comme de grandes entreprises et posseacutedant un reacuteel potentiel drsquoeacutevolution Asterisk apporte un nouveau souffle agrave la ToIPhellip
Cet article expliquehellipbull Les fondamentaux drsquoAsterisk bull Comment exploiter les vulneacuterabiliteacutes protocolaires de la ToIPbull Les meacutethodes drsquoattaques et les outilsbull Les bonnes pratiques pour se proteacuteger
Ce qursquoil faut savoirhellipbull Notion de reacuteseau et des protocolesbull Notion de ToIP
David Hureacute
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 9
au moins eacutequivalents agrave celui des anciens systegravemes de teacuteleacutephonie traditionnels
Nous allons en deacutetailler certains drsquoentre eux en com-menccedilant par la seacutecuriteacute de lrsquoOS qui supporte votre IPBX geacuteneacuteralement sous noyau Linux il existe deux eacutecoles Il y a ceux qui optimisent inteacutegralement lrsquoOS utiliseacute tech-nique tregraves efficace et beacuteneacuteficie drsquoavantages indeacuteniables comme les performances la seacutecuriteacute optimale la sta-biliteacute accruehellip et reacutepondent agrave des besoins speacutecifiques voire industriels
Cependant cette technique neacutecessite des compeacute-tences avanceacutees En effet partir drsquoun LFS laquo Linux from scratch raquo et compiler uniquement les modules drivers et paquets neacutecessaires afin drsquooptimiser inteacutegralement le noyau nrsquoest pas donneacute agrave tous cela reste manuel long et complexe et de plus aucun suivi de version nrsquoest applicable automatiquement Il faut mettre en place sa propre gestion des deacutependanceshellip
De lrsquoautre cocircteacute il y a ceux qui souhaitent mettre en place simplement et rapidement un systegraveme de base (Debian CentOs Red Hatehellip) ou mieux utilisent des variantes comme le mode laquo Hardened raquo (HLFS) afin de renforcer nettement le niveau de seacutecuriteacute Ce mo-de integravegre nativement des meacutecanismes de seacutecuriteacute sur la pile IP de lrsquoOS limite lrsquoexeacutecution des binaires des scripts et autres attaques et nutilise que les drivers neacutecessaireshellip coupleacutes uniquement aux services acti-veacutes par lrsquoadministrateur et utiles agrave la ToIP comme par exemple le WEB DHCP NTP TFTP lrsquoAsterisk le Ma-nager Asterisk SSH relay mailhellip En reacutesumeacute la plu-part des personnes concerneacutees utilisent simplement un systegraveme de base et se dirigent vers un laquo Harde-ned raquo lorsqursquoelles sont sensibles agrave la seacutecuriteacute Le LSF est geacuteneacuteralement reacuteserveacute au laquo Geek raquo aux construc-teurs etou eacutediteurs
Dans un autre registre le parameacutetrage drsquoAsterisk joue un rocircle essentiel dans la seacutecuriteacute de la solution de teacute-
Dans certaines actualiteacutes beaucoup ont entendu par-ler des enregistrements de lrsquoaffaire laquo Bettencourt raquohellip ou encore ont lu avec stupeacutefaction que certains opeacute-rateurs eacutetrangers nrsquoheacutesitaient pas agrave pirater des entre-prises drsquoautres pays afin de mettre en place des laquo pee-ring raquo de masse leur permettant de revendre des milliers de minutes par mois pour lrsquousage de leurs clientshellip
Drsquoautre part moins preacutesente en France lrsquoarnaque aux numeacuteros surtaxeacutes et agrave lusurpation didentiteacute le pro-ceacutedeacute est simple il consiste agrave appeler une personne en modifiant le numeacutero drsquoappelant par celui de quelqursquoun drsquoautre peu drsquoopeacuterateurs controcirclent ce type drsquoexerci-ce et ce controcircle est rendu quasi impossible dans le cas drsquoune communication VoIP internethellip
Une autre arnaque porte sur la modification de la synthegravese vocale afin de se faire passer pour quelqursquoun drsquoautre par le biais drsquoun simple outil de modulation de freacutequence vocale outil de plus en plus eacutevolueacute et qui permet par exemple de transformer la voix drsquoune fem-me en celle dun homme Les IPBX entreprise actuel-lement sur le marcheacute ne sont pas eacutequipeacutes aujourdrsquohui de meacutecanisme de laquo controcircle de conformiteacute raquo de la voix mais il est possible dans le cadre drsquoaffaires judiciaires de veacuterifier si une voix a eacuteteacute ou non modifieacute dans un en-registrement
A ce sujet drsquoailleurs seuls les opeacuterateurs sont contraints par commissions rogatoires deacutelivreacutees par les services judiciaires agrave mettre en place des eacutecoutes teacuteleacutephoniques Certaines techniques laquo drsquointerception leacutegale de trafic raquo se standardisent mecircme au niveau in-ternational comme le laquo Lawful interception raquo de la Com-munications Assistance for Law Enforcement Act (CA-LEA ou ETSI)
Cependant ne soyons pas alarmiste ce type drsquoatta-que neacutecessite une expertise et chacun agrave son niveau dispose de moyens plus ou moins eacutevolueacutes de se proteacute-ger avec des niveaux de seacutecuriteacute tregraves satisfaisants ou
Figure 1 Hausse rapide des vulneacuterabiliteacutes depuis 2006 (source NVD)
0
10
20
30
40
50
60
Nombre total de vulneacuterabiliteacutes de la voix sur IP
2002 2003 2004 2005 2006 2007 2008
7201010
DOSSIER
leacutephonie sur IP En effet lrsquoAsterisk est un service fondeacute sur un ensemble de fichiers de configuration en com-menccedilant par le laquo SIPconf raquo permettant de configurer les comptes SIP utilisateurs (SDA nombre drsquoappels si-multaneacutes max Nom Preacutenomhellip) les contextes auxquels ils sont rattacheacutes les CODEC agrave utiliser la gestion des droits drsquoappelshellip crsquoest ce fichier qui par exemple vous autorise ou non agrave appeler un 06 08 lrsquointernationalhellipet liste les services de ToIP que vous pourrez utiliser (dou-ble appel conf call voicemailhellip)
De plus le fichier laquo extensionconf raquo permet drsquoeacutetablir un dial plan drsquoautres types de contextes (interneexter-ne) des macroshellip la gestion des renvois pour autori-ser ou non un renvoi vers 06 ou 08
Une partie de la seacutecuriteacute du service laquo Asterisk raquo sappuie entre autres sur le laquo managerconf raquo Ce fichier repreacutesente lrsquoadministration du noyau Asterisk (Figure 2 laquo manager Asterisk raquo) Une des bonnes pratiques consiste agrave creacuteer uniquement un compte laquo super Administrateur raquo et agrave bien parameacutetrer le ni-veau de droit des utilisateurs lambda (users) et des autres administrateurs deacuteleacutegueacutes (Originate) Voici la synthegravese des eacuteleacutements parameacutetrables via le laquo mana-ger raquo
Nb Il est entre autres recommandeacute drsquoutiliser le SSH et drsquoactiver le mode de connexion SSL agrave lrsquointerface WEB du manager ou simplement de la deacutesactiver
LrsquoAsterisk sappuie aussi sur drsquoautres fichiers de configuration comme le laquo CDRconf raquo pour la ges-tion et le parameacutetrage des logs du call flowhelliple fichier laquo CDRmanagerconf raquo le laquo H323conf raquo laquo iaxconf raquo laquo queuesconf raquo etchellip
Geacuteneacuteralement et de plus en plus les utilisateurs comme les administrateurs sont friands drsquoutiliser une interface WEB (surcouche drsquoadministration) pour le parameacutetrage et lrsquoadministration de lrsquoAsterisk et de ses services Elle doit beacuteneacuteficier de diffeacuterents niveaux de seacutecuriteacute A minima trois niveaux par exemple laquo Root raquo laquo Admin raquo laquo utilisateur raquo qui permet drsquoauto-riser ou pas certaines modifications (ex modification
adresse mail SDA plan de SDA renvoi supervision) sans passer directement par les fichiers de configura-tion drsquoAsterisk
Il est aussi important de seacutelectionner le bon laquo dri-ver TAPI raquo pour les postes de travail et le click to dial par exemple afin de ne pas ecirctre obligeacute drsquooctroyer des droits suppleacutementaires sur le manager agrave un utilisateur lorsqursquoil tente drsquoutiliser cette fonction (De plus si quel-qursquoun eacutecoute les flux ou utilise un sniffer il a de grandes chances de reacutecupeacuterer le mot de passe administrateur du managerhellipil est donc preacutefeacuterable drsquoutiliser le mode laquo originate raquo)
Drsquoautre part le mode drsquoauthentification des teacuteleacutepho-nes IP reste somme toute assez basique puisque cer-tains flux sont en clairs et puisque le challenge est reacutealiseacute avec un hash simple en MD5 et pas de chiffre-menthellip Ce qui renforce lrsquoimportance de la politique de mot de passe
Pour finir les nouvelles releases en test beacuteneacuteficient deacutejagrave de certaines reacuteponses (V162) et drsquoavanceacutees en matiegravere de seacutecuriteacute comme le support TLS pour le SRTP le renforcement de certains meacutecanismes de seacute-curiteacute ou encore le support du T140 pour les messages texte le support du SS7 dans DAHDI lrsquoameacutelioration des CDR de la gestion du Dial Plan du laquo MeetMe raquo des files drsquoattente des nouvelles fonctions SIP et bien drsquoautreshellip
Les problegravemes protocolairesLa ToIP est maintenant une partie inteacutegrante des reacute-seaux LAN (voir la rubrique sites web) elle est donc soumise agrave un ensemble de probleacutematiques purement reacuteseau dont voici quelques exemples quelques soit les constructeurshellip
bull Le Deacuteni de service (DoS) sur VoIP qui consiste agrave lancer une multitude de requecirctes laquo flooding SIP raquo laquo TCP syn raquo ou laquo UDP raquo (par exemple deman-des drsquoenregistrement et dappelshellip) jusquagrave satura-tion des services VoIP Ces types dattaques ciblent souvent les serveurs les passerelles les proxy ou encore les teacuteleacutephones IP qui voient leurs res-sources sont rapidement eacutepuiseacutees par ces requecirc-tes dont lrsquoobjectif est de perturber voire mettre hors service le systegraveme cibleacute Une autre attaque eacutegale-ment reacutepandue consiste agrave envoyer des commandes laquo BYE raquo au teacuteleacutephone afin de mettre fin agrave la conver-sation en courshellip
bull La manipulation du contenu multimeacutedia et des si-gnaux est une attaque qui permet drsquoinjecter un fi-chier son dans un flux RTP par le biais drsquoune atta-que laquo RTP Insertsound raquo
bull Attaque par laquo relecture raquo ou laquo Deacutetournement den-registrement raquo de sessions autoriseacutees obtenues gracircce agrave une analyse de trame par un laquo sniffer raquo sur le reacuteseau ou par interception de trafic Cette atta-Figure 2 laquo manager Asterisk raquo
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 11
que se deacuteroule au niveau du protocole SIP elle uti-lise la commande laquo Register raquo qui sert agrave localiser un utilisateur par rapport agrave son adresse IP Le pi-rate peut alors rejouer ces sessions de laquo regis-ter raquo valide en modifiant uniquement lrsquoadresse IP de destination en sa faveurhellipCette attaque est due au fait que le protocole SIP transite une partie des informations en clair il est donc possible de met-tre en place du SIPS qui integravegre des meacutecanismes drsquoauthentification et assure lrsquointeacutegriteacute des donneacutees
bull Le laquo Man in the Middle raquo (figure 3 exemple drsquoeacutechange protocolaire) (MITM) est une des atta-ques les plus connues elle permet agrave lrsquoassaillant de se positionner entre le client et le serveur afin drsquoin-tercepter les flux cibleacutes qui sont eacutechangeacutes Le pi-rate usurpe alors lrsquoadresse MAC (spoof MAC) de ces 2 parties par lrsquoempoisonnement du cache ARP des switches (ex Ettercap + plugin laquo chk_poiso-ning raquo) afin drsquoecirctre transparent dans ces eacutechanges Les donneacutees transitent alors au travers du systegraveme pirate Dans le cas de la ToIP cette technique est utiliseacutee pour laquo lrsquoEavesdropping raquo (laquo Oreille indiscregrave-
te raquo) lui permettant ainsi drsquoeacutecouter et drsquoenregistrer les conversations entre les interlocuteurs mais aus-si de reacutecupeacuterer un ensemble drsquoinformations confi-dentielles cette technique est aussi utiliseacutee pour drsquoautres protocoles (SSL DNS SSHhellip)
bull Le laquo switch jamming raquo (figure 4 ARP spoofing at-taques) est une attaque qui consiste agrave saturer le plus rapidement possible les tables de commu-tation drsquoun commutateur avec des milliers de pa-quets contenant de fausses adresses MAC (floo-ding MAC) dans le but de le transformer en laquo mode reacutepeacuteteur raquo (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports Nb cette attaque ne fonctionne pas avec tous les commutateurs et elle est geacuteneacuteralement peu discregrave-tehellip
bull La deacuteviation par un paquet ICMP consiste agrave utiliser un geacuteneacuterateur de paquet du type laquo frameipexe raquo (disponible sur internet) et agrave forger ses propres pa-quets ICMP de deacuteviation (type 5) agrave destination du client afin de lui indiquer que la route utiliseacutee nrsquoest pas optimale et lui communiquer par la mecircme occa-
Figure 3 exemple drsquoeacutechange protocolaire
Client Attacker Server
Alice Proxy 1 Proxy 2 Bob
INVITE
Trying
Ringing
OK
INVITE
Trying
Ringing
OK
INViTE
Ringing
OK
AC K
Communication multimeacutedia
BYE
OK
7201012
DOSSIER
sion la nouvelle route qui permettra de rediriger les flux vers un hocircte pirate qui ferait office de passe-relle Lrsquoobjectif de cette attaque est multiple eacutecou-te enregistrement (comme pour MITM) DoShellip Il est important de noter que cette attaque ne per-met pas de rediriger le trafic dune connexion entre deux machines du mecircme reacuteseau local (mecircme plan adresse IP) puisque le trafic eacutechangeacute ne passe pas par une passerelle
bull laquo VLAN Hopping raquo consiste agrave deacutecouvrir le Ndeg de VLAN attribueacute agrave la ToIP (en reacutecupeacuterant la VLAN Database utilisation drsquoun sniferhellip) dans un envi-ronnement LAN et de marquer des trames Ether-net directement dans ce VLAN en forgeant ses pro-pres trames Cette technique permet de srsquoaffranchir drsquoune partie de la seacutecuriteacute associeacutee aux VLANshellip(label spoofing)
bull Dans certains cas un simple laquo brute force raquo sur le serveur TFTP laquo officiel raquo permet de teacuteleacutecharger la configuration complegravete drsquoun eacutequipement et drsquoap-prendre un certain nombre drsquoeacuteleacutementshellip
bull En SIP les eacutequipements beacuteneacuteficient drsquoune reacuteelle in-telligence embarqueacutee contrairement aux MGCP par exemplehellip il est donc possible de demander agrave un teacute-leacutephone laquo drsquoafficher raquo lors drsquoun appel agrave son destinatai-re un numeacutero de teacuteleacutephone diffeacuterent du sien En inter-ne cela nrsquoa que peu drsquoeffet Pourtant une personne pourrait preacutetendre appeler depuis le centre de seacutecuri-teacute ou le bureau du directeurhellip et demander lrsquoexeacutecution drsquoactions particuliegraveres par exemple De lrsquoexteacuterieur ecirctre discret se faire passer pour quelqursquoun autre ou en-core afficher systeacutematiquement pour tous les appels sortants un numeacutero tiers pirate (modification sur pas-serelle ou IPbx) Lorsque les destinataires tenteront de recontacter leurs collegravegues etou partenaires en faisant laquo BIS raquo ou rappeler dans lrsquohistorique des ap-pels ils tomberont systeacutematiquement sur le numeacutero (payant) qui eacutetait afficheacute (ex 14euro par appel)
Ports geacuteneacuteralement utiliseacutes en ToIPTFTP UDP 69MGCP UDP 2427LDAP TCP 389Backhaul (MGCP) UDP 2428TapiJtapi TCP 2748http TCP 808080SSL TCP 443SCCP TCP 3224Skinny TCP 2000-2002SNMP UDP 161SNMP Trap UDP 162DNS UDP 53SIP TCP 5060SIPTLS TCP 5061H323 RAS TCP 1719H323 H225 TCP 1720H323 H245 TCP 11000-11999H323 Gatekeeper Discovery UDP 1718RTP 16384-32767NTP UDP 123
Ensuite au niveau des applications
bull Apregraves avoir ameacutelioreacute la seacutecuriteacute sur vos reacuteseaux et vos protocoles il reste neacuteanmoins drsquoautres points noirs comme les interfaces graphiques des IPbx lrsquousage du mode HTTPS nrsquoest pas forceacute voire non activeacute
bull De plus au niveau des stations de travail lrsquoauthen-tification aux pages drsquoadministrations de lrsquoIPbx etou des interfaces utilisateurs peut ecirctre coupleacutee agrave des cookies ou du NTLM qui ne sont pas forcement un gage de seacutecuriteacute et encore moins quand lrsquoutilisa-teur demande agrave son navigateur de garder les mots de passe en meacutemoirehellip
bull Drsquoautre part il existe un nombre de failles etou de vulneacuterabiliteacutes non neacutegligeable directement sur
Figure 4 ARP spoofing attaques
Utilisateur 1 Utilisateur 2
ltlt Spoof MacAddress gtgt
ltlt Spoof MacAddress gtgt
Attaquantltlt Man in
the Middle gtgt
ltlt SwitchJamming gtgt
Ethernet Switch
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 13
les interfaces des IPbx exeacutecution forceacutee de script comme le laquo cross site scripting raquo ou autres la falsi-fication des requecirctes inter-sites injections de don-neacuteeshellip
bull Plus simplement par deacutefaut les eacutequipements ToIP beacuteneacuteficient de services standard activeacutes (ex tel-net ouvert port SNMP et readwrite avec commu-nity name par deacutefaut interface Web de configura-tion de lrsquoeacutequipement permettant la modification de la configuration en http reacutecupeacuteration drsquoinformations directes statistiques reboot agrave distance port de troubleshooting authentification basique Services echo et time ouvertshellip) Toutes ces inattentions sur les eacutequipements facilitent souvent les actions dune personne mal intentionneacuteehellip
Quelques techniques utiliseacutees par les piratesGeacuteneacuteralement un simple laquo Snifer raquo sur votre LAN per-mettra agrave un pirate de reacutecupeacuterer une multitude drsquoinforma-tions telles que les protocoles utiliseacutes sur votre reacuteseau (CDP STP DNS DHCP LDAP MAPIhellip) et drsquoobtenir des renseignements sur votre plan adressage IP vos VLANs codecs utiliseacutes utilisateurs login mot de pas-se deacutecouverte de vos infrastructures de la topologie la marque des eacutequipements les IOS vos serveurs leurs OS et versions version des applicationshellip
bull Le ldquofuzzingrdquo est une meacutethode permettant de tester les logiciels et de mettre en eacutevidence des dysfonc-tionnements potentiels afin de constater la reacuteaction du systegraveme lorsquil reccediloit de fausses informations Cette meacutethode utilise un certain nombre drsquooutils de seacutecuriteacute utiliseacutes notamment lors drsquoaudits mais cer-taines personnes mal intentionneacutees srsquoen servent dans le but de trouver et exploiter des failles (comp-te administrateur augmentation des deacutelais DOS eacutecoutehellip)
bull Spam VoIP ou SPIT (Spam Over Internet Tele-phony) - le SPIT est comme son nom lrsquoindique un SPAM dont lobjectif est la diffusion dun mes-sage publicitaire en initiant etou relayant un maxi-mum drsquoappels agrave lrsquoaide de laquo Bots raquo agrave destination de millions dutilisateurs VoIP depuis le systegraveme com-promis Cette technique a de multiples conseacutequen-ces comme la saturation du systegraveme des MEVO des communications simultaneacuteeshellip Une utilisation deacutetourneacutee du SPIT consiste aussi agrave initier un maxi-mum drsquoappels agrave destination de Ndeg surtaxeacutes dans le but drsquoenrichir des organisations malveillanteshellip
bull Vishing (Voice Phishing) ndash Cette technique est comparable au laquo phishing raquo traditionnel dans le but drsquoinciter des utilisateurs agrave divulguer des don-neacutees confidentielles voire sensibles (par exemple noms dutilisateur mots de passe et ou numeacuteros de compte Ndeg de seacutecuriteacute sociale code bancaire adresses coordonneacuteeshellip) Dans notre cas crsquoest un
SPIT qui diffuse un message demandant aux utili-sateurs drsquoappeler un numeacutero speacutecifique pour veacuteri-fier les informations en questions et il ne reste plus qursquoagrave attendre que le teacuteleacutephone sonne Apregraves avoir reacutecupeacutereacute ces donneacutees le pirate les utilise ou les vend agrave des tiers
bull Vol dadresses eacutelectroniques ndash Lrsquousage du laquo Voi-cemail raquo se multipliant chaque utilisateur ou pres-que beacuteneacuteficie drsquoune adresse de messagerie eacutelec-tronique associeacutee cette attaque consiste agrave bom-barder le serveur de laquo voicemail raquo du domaine ToIP avec des milliers drsquoadresses mail de test (ex nomprenomclientfr nomprenomclientfr nomclientcom) Chaque adresse non valide est re-tourneacutee pour le reste lrsquoattaquant peut ainsi en deacute-duire un certain nombre drsquoadresses mail valides qursquoil pourra alors utiliser agrave sa guise pour drsquoautres at-taques (SPIT Vishing SPAM mailhellip)
bull Deacutetournement de trafic ou laquo Phreaking raquo est une meacutethode historique degraves les deacutebuts de la teacuteleacutephonie elle consiste agrave ne pas payer les communications et agrave rester anonyme En ToIP ce deacutetournement s ef-fectue apregraves reacutecupeacuteration dun couple loginpass valide ou apregraves accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone Les pionniers du laquo Phrea-king raquo (Cf figure 5) Imaginons maintenant que le pirate ait reacuteussi (par diffeacuterents moyens) agrave obtenir un login aux droits suffisants pour modifier la confi-guration de votre Ipbx Il peut alors parameacutetrer un laquo Trunck raquo agrave destination drsquoun autre IPbx et organi-ser la revente de minutes par dizaines de milliers dans un autre payshellip en utilisant le mecircme concept
Exemple de quelques outils SIPtap Wireshark VOMIT (Voice Over Misconfigured Internet Telephones) VoIPong NESUS nmap troyens divers UCSniff (ARP Saver VLAN Hopping) Digitask pour skype SIVUS Teardown Cain Backtrack Dsniff YLTI scapy SIPcrackhellip
Figure 5 accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
72010
ACTUALITEacuteS
Youtube une faille XSS deacuteceleacuteeUne vulneacuterabiliteacute de type XSS a eacuteteacute exploiteacutee sur le site Youtube aux alentours du 5 juillet 2010 Google a pat-cheacute la vulneacuterabiliteacute au plus vite eacutevitant ainsi au vecteur drsquoattaque de creacuteer de nombreux deacutegacircts Cette exploi-tation de faille srsquoest faite juste apregraves la fecircte nationale des Etats-Unis Crsquoest peut-ecirctre une simple coiumlncidence mais de nombreux pirates jouent sur les fecirctes nationa-les etc pour ainsi espeacuterer une dureacutee de vie plus longue de la vulneacuterabiliteacute les effectifs eacutetant moins nombreux le patch sera plus long agrave arriver Rappelons-nous par exemple le cas avec Twitter lrsquoanneacutee derniegravere agrave la peacute-riode de Pacircques etc
Concernant lrsquoaspect technique de la vulneacuterabiliteacute si nous tentions drsquoinseacuterer des balises HTML seule la premiegravere eacutetait filtreacutee Degraves lors il suffisait drsquoentrer ltscriptgtltscriptgt pour que la deuxiegraveme balise ltscriptgt soit exeacutecuteacutee car mal filtreacutee
Lrsquoattaque nrsquoa pas eu de grave reacutepercutions et nrsquoa ser-vi qursquoagrave inseacuterer des messages au sujet de la mort ficti-ve de Justin Bieber (chanteur canadien) ainsi que cer-taines redirections
En revanche les risques drsquoune XSS sont lrsquoaffichage de nombreux messages la reacutecupeacuteration des cookies et ainsi tromper la majoriteacute des internautes
Avis aux deacutetenteurs de vulneacuterabiliteacutes sur les navigateurs Mozilla ChromeMozilla a augmenteacute la reacutecompense donneacutee aux cher-cheurs en seacutecuriteacute informatique qui trouveraient des bugs dans le navigateur internet Mozilla firefox La va-leur de la laquo prime raquo est de 3 000 $ Ce systegraveme cher-che agrave valoriser le travail des chercheurs en seacutecuriteacute afin de promouvoir le cocircteacute laquo lucratif raquo que les bugs trou-veacutes apporteraient et ainsi pallier le problegraveme de laquo full-disclosure raquo (soit divulguer la faille sur internet) Cette initiative a eacuteteacute lanceacutee deacutebut 2004 et semble ecirctre suivie par bon nombre de personnes
Cependant le bug doit avoir certaines particulariteacutes notamment ne pas avoir deacutejagrave eacuteteacute reporteacute ecirctre de type laquo remote exploit raquo et dans la derniegravere version du logi-ciel
En parallegravele drsquoautres compagnies ont suivi le mecircme mouvement comme Google avec une prime agrave 1337 $ ce qui en fera sourire certains car signifie laquo leet raquo so-it eacutelite Information de derniegravere minute Google vient drsquoaugmenter la prime agrave 31137 $
Un add-on Mozilla qui reacutecupegravere vos mots de passeDe nombreux add-ons au navigateur Internet Firefox ont paru il y a quelques jours dont le laquo Mozilla Sniffer raquo servant agrave intercepter les logins passwords et donneacutees soumis agrave nrsquoimporte quel site les envoyant par la suite
agrave une machine distante Cet add-on a eacuteteacute uploadeacute le 6 juin et la compagnie deacutenombre agrave ce jour pregraves de 3300 laquo utilisateurs raquo de ce logiciel malveillant
Le code de lrsquoadd-on nrsquoavait pas eacuteteacute veacuterifieacute mais seu-lement scanneacute agrave la recherche drsquoun quelconque virus Seul un comportement anormal de lrsquoadd-on est deacutetecteacute en analysant le code
Mozilla aux aguets depuis ces derniers temps a deacute-celeacute un autre add-on nommeacute laquo CoolPreviews raquo dont le code contient une vulneacuterabiliteacute permettant agrave une per-sonne mal intentionneacutee drsquoexeacutecuter du code agrave distan-ce et ainsi avoir la main sur la victime infecteacutee par cet add-on
Degraves lors pregraves de 177 000 ont la version de laquo Cool-Previews raquo installeacutee Crsquoest donc un vecteur drsquoattaque qui nrsquoest en aucun cas agrave neacutegliger et qui risque de faire de nombreux deacutegacircts tout en nuisant agrave lrsquoimage du navi-gateur
Un ancien employeacute du MI6 coupable de fuites drsquoinformationsDaniel Houghton 25 ans a eacuteteacute au cœur de lrsquoactualiteacute au cours des derniegraveres semaines Il a travailleacute de 2007 agrave 2009 dans les services de renseignement du Roy-aume-Uni Il eacutetait rattacheacute au MI6 en charge de la pro-tection du pays contre des attaques terroristes etc Fin 2009 Daniel Houghton a deacutecideacute de deacutemissionner em-portant avec lui de nombreuses informations suscep-tibles de se reacuteveacuteler tregraves inteacuteressantes aux yeux de per-sonnes cherchant agrave nuire au Royaume-Uni
Il a eacuteteacute accuseacute il y a quelques semaines drsquoavoir voulu deacutevoiler contre de lrsquoargent des informations classeacutees confidentielles dont une liste de pregraves de 700 membres appartenant aux services de renseignements etc
hakin9orgfr 7
ACTUALITEacuteS
Daniel avait chercheacute agrave vendre ces informations aux services de renseignements allemands demandant pregraves de 2 millions de pound Finalement apregraves de nomb-reuses neacutegociations il a baisseacute le prix agrave 900 000 pound La transaction devait ecirctre reacutealiseacutee agrave Londres mais Daniel a eacuteteacute arrecircteacute juste avant niant les faits Depuis il a plaideacute coupable Le jugement aura lieu le 3 septembre en at-tendant de nombreuses investigations continuent
Skype le secret reacuteveacuteleacute au grand jourLe 7 juillet aura eacuteteacute une date noire pour Skype crsquoest agrave cette date que Sean OrsquoNeil a publieacute agrave lrsquoaide drsquoune eacutequi-pe de laquo reverse engineers raquo lrsquoalgorithme drsquoencryptage de Skype
Cet algorithme eacutetait tenu secret par lrsquoeacutequipe de Skype Or maintenant il est reacuteveacuteleacute au grand jour
Sean OrsquoNeil explique sur son blog (article qui peut ecirctre visualiseacute gracircce au cache de Google car supprimeacute de son blog) que son code avait eacuteteacute voleacute il y a que-lques mois eacutetait utiliseacute par des pirates informatiques reacutealisant du spam etc Degraves lors Skype eacutetait remonteacute jusqursquoagrave lui lrsquoaccusant de jouer un rocircle preacutedominant avec les spammers etc
Quant agrave lui pour se justifier il propose du code en C tout en argumentant son acte il souhaite rendre Skype plus seacutecuriseacute
Quand les Hackers rencontrent les laquo pirates raquo Le fameux site de partage de fichiers a eacuteteacute victime drsquoun groupe de chercheurs argentins sous la direc-tion de Ch Russo Ils ont reacuteussi agrave acceacuteder agrave lrsquointerface drsquoadministration du site gracircce agrave de nombreuses vulneacute-rabiliteacutes telles que des SQL Injection
Degraves lors ils ont pu avoir accegraves agrave la base de donneacutees qui recensait pregraves de 4 millions drsquoutilisateurs 4 millions drsquoutilisateurs repreacutesentent un nombre tregraves important surtout pour lrsquoune des plates-formes les plus connues et les plus meacutediatiseacutees vu le nombre de procegraves auxquels ses dirigeants ont ducirc faire face Ces informations sont une veacuteritable mine drsquoor pour les personnes cherchant agrave mettre la main sur les utilisateurs pratiquant le teacuteleacutechar-gement Les chercheurs argentins pouvaient reacutealiser de nombreuses interactions comme par exemple creacuteer supprimer modifier ou encore voir les informations sur les utilisateurs incluant tous leurs torrents hellip
Russo a expliqueacute dans un communiqueacute que lui et ses associeacutes nrsquoont ni alteacutereacute ni supprimeacute une quelconque in-formation dans la base de donneacutees
Parallegravelement il a assureacute qursquoil ne vendrait aucune in-formation reacutecupeacutereacutee lors de cette intrusion Il souhaitait seulement deacutemontrer que les informations des memb-res nrsquoeacutetaient pas bien proteacutegeacutees et qursquoil eacutetait tout agrave fait possible de les reacutecupeacuterer Heureusement ces informa-tions ne soient pas tombeacutees dans de mauvaises mains
ce qui aurait provoqueacute un incident majeur sur toute cette communauteacute
Des problegravemes pour le FBI et lrsquoencryptage de plusieurs disques durs En juillet 2008 la police avait saisi 5 disques durs ap-partenant agrave un banquier breacutesilien Daniel Dantas sou-pccedilonneacute de nombreux crimes
Les autoriteacutes breacutesiliennes ont constateacute que les don-neacutees eacutetaient chiffreacutees
De nombreuses analyses ont reacuteveacuteleacute que les fichiers avaient eacuteteacute encrypteacutes agrave lrsquoaide de deux algorithmes dont TrueCrypt et un autre non identifieacute (certainement fondeacute sur 256-bit AES) De plus il nrsquoexiste pas (comme au Royaume-Uni par exemple) de loi forccedilant lrsquoutilisateur agrave donner sa cleacute de cryptage
Malgreacute un an drsquoeacutetudes et de tests le FBI nrsquoa pas reacuteussi agrave casser le systegraveme En conseacutequence sans les preuves informatiques des fraudes financiegraveres les enquecircteurs auront des difficulteacutes agrave poursuivre DANTAS
Les prochains mois nous permettront drsquoy voir un peu plus clair agrave ce sujet tout en suivant lrsquoaffaire
Cracking de password une nouvelle deacutecouverte surprenante Les chercheurs Nate Lawson et Taylor Nelson preacuteten-dent avoir deacutecouvert une faille de seacutecuriteacute qui affecte de nombreux systegravemes drsquoauthentification tels que Oauth ou encore OpenID Ces systegravemes sont tregraves fortement utiliseacutes sur des sites tels que Twitter hellip
Les cryptographes sont informeacutes des attaques dites laquo temporelles raquo depuis de nombreuses anneacutees ma-is nrsquoont jamais pris la menace tregraves au seacuterieux car elle semblait trop difficile agrave mettre en place sur un reacuteseau (problegravemes de latence etc ) puisque cette attaque est fondeacutee sur le temps
Lrsquoarticle preacutesente un cas inteacuteressant certains systegravemes veacuterifient que le login password correspond agrave chaque nouvelle insertion de caractegravere
Degraves lors les chercheurs en arrivent agrave la conclusion qursquoun mauvais essai de login arrive plus vite qursquoun login ougrave le premier caractegravere du login est bon (Le systegraveme renvoie un mauvais login degraves qursquoil deacutetecte un mauvais caractegravere)
Gracircce agrave ce facteur de laquo temps raquo il est possible de de-viner un mot de passe et ainsi contourner les systegravemes drsquoauthentification
Nate et Taylor souhaitent discuter de ces attaques agrave la Black Hat confeacuterence qui se tiendra fin aoucirct agrave Las Ve-gas Drsquoautres articles ou documentations nous en diront certainement plus sur lrsquoexploitation drsquoattaque de type laquo temporelle raquo
News reacutedigeacutes par Paul AMAR
72010
DOSSIER
Le monde de la teacuteleacutephonie est plus que jamais en eacutevolution ces derniegraveres anneacutees En effet apregraves le passage de la teacuteleacutephonie traditionnelle vers la
VoIP (voix sur reacuteseau IP) un grand nombre drsquoacteurs plus ou moins historiques proposent maintenant des solutions apportant des services agrave valeurs ajouteacutees
Alcatel fait toujours partie des leaders du marcheacute mecircme srsquoil a perdu des parts non neacutegligeables sur ce marcheacute drsquoautres ont reacuteussi agrave exploiter davantage lrsquoIP comme Cisco Avaya Mitelhellip ou encore un autre qursquoil nrsquoest plus neacutecessaire de preacutesenter Asterisk sous toutes ses formeshellip
Il y a encore 5 ans Asterisk repreacutesentait ~02 de parts de marcheacute puis en quelques anneacutees pregraves de 4 et maintenant il atteint pregraves de 7 du marcheacute mondial en 2010 Certains opeacuterateurs utilisent mecircme un noyau Asterisk pour leurs offres Centrex et ont agrave minima valideacute lrsquoAsterisk V14 etou V16 pour leurs solutions laquo Trunk-SIP raquo Asterisk beacuteneacuteficie maintenant drsquoune reacutesonance toute particuliegravere mecircme aux yeux des grandes entre-prises
Autant dire que la communauteacute Asterisk est compara-ble aux autres communauteacutes telles que Squid MySQL Apachehellip qursquoelle se porte bien et a encore de beaux jours devant elle
Ce succegraves est principalement ducirc au caractegravere laquo Open Source raquo drsquoAsterisk et agrave une certaine maturiteacute technologi-que qui lui permet maintenant drsquoecirctre aussi fiable et per-formant que les solutions leader De plus lrsquoensemble des fonctionnaliteacutes proposeacutees srsquoeacutetoffent agrave chaque version agrave
tel point qursquoaujourdrsquohui Asterisk possegravede des fonctions qui ne sont pas aux catalogues des grands constructeurs et surtout adaptables laquo sur mesure raquo agrave votre environne-ment afin de lrsquointerfacer dans des systegravemes drsquoinforma-tions complexes La flexibiliteacute drsquoAsterisk est un atout ma-jeur face aux autres solutions packageacutees
Asterisk permet notamment en plus de tous les servi-ces dit laquo classiques raquo de mettre en place des services tels que softphone voicemail MEVO PoPC statisti-que (CDR) call center Fax-mail interface speacutecifique IVR Confeacuterence provisionning automatique SMS passerelle mobile enregistrement text-To-Speech ACD Ldap taxation CRM supervision annuaire re-connaissance du numeacutero depuis lrsquoexteacuterieur gestion de Preacutesence des files drsquoattentes messagerie instantaneacutee couplage avec Wifi et DECT IP couplage avec visio-confeacuterence le chuchotement CTI T9 annuaire unifieacute musique drsquoattentehellip
Cependant la ToIPVoIP souffre encore drsquoune mau-vaise image drsquoun point de vue seacutecuriteacutehellipEn effet les reacuteseaux voix historiquement isoleacutes fusionnent de plus en plus avec les reacuteseaux de donneacutees ils sont donc plus sensibles aux attaques drsquoun piratage Les impacts peu-vent ecirctre variables confidentialiteacute dysfonctionnements usurpations eacutecoute changements des annonces de lrsquoIPbx accegraves aux messageries vocales contournement de la politique de seacutecuriteacute DATA (backdoors) perte fi-nanciegravere etchellip alors qursquoil existe un ensemble de solu-tions qui permettent de maitriser la seacutecuriteacute de son sys-tegraveme de teacuteleacutephonie sur IP
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
Asterisk est une solution Open Source innovante qui a fait ses preuves Historiquement conccedilu par un eacutetudiant en 1999 Mark Spencer avait un recircve il souhaitait deacutemocratiser la teacuteleacutephonie sur IP et concurrencer les plus grands Aujourdrsquohui utiliseacute par des particuliers comme de grandes entreprises et posseacutedant un reacuteel potentiel drsquoeacutevolution Asterisk apporte un nouveau souffle agrave la ToIPhellip
Cet article expliquehellipbull Les fondamentaux drsquoAsterisk bull Comment exploiter les vulneacuterabiliteacutes protocolaires de la ToIPbull Les meacutethodes drsquoattaques et les outilsbull Les bonnes pratiques pour se proteacuteger
Ce qursquoil faut savoirhellipbull Notion de reacuteseau et des protocolesbull Notion de ToIP
David Hureacute
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 9
au moins eacutequivalents agrave celui des anciens systegravemes de teacuteleacutephonie traditionnels
Nous allons en deacutetailler certains drsquoentre eux en com-menccedilant par la seacutecuriteacute de lrsquoOS qui supporte votre IPBX geacuteneacuteralement sous noyau Linux il existe deux eacutecoles Il y a ceux qui optimisent inteacutegralement lrsquoOS utiliseacute tech-nique tregraves efficace et beacuteneacuteficie drsquoavantages indeacuteniables comme les performances la seacutecuriteacute optimale la sta-biliteacute accruehellip et reacutepondent agrave des besoins speacutecifiques voire industriels
Cependant cette technique neacutecessite des compeacute-tences avanceacutees En effet partir drsquoun LFS laquo Linux from scratch raquo et compiler uniquement les modules drivers et paquets neacutecessaires afin drsquooptimiser inteacutegralement le noyau nrsquoest pas donneacute agrave tous cela reste manuel long et complexe et de plus aucun suivi de version nrsquoest applicable automatiquement Il faut mettre en place sa propre gestion des deacutependanceshellip
De lrsquoautre cocircteacute il y a ceux qui souhaitent mettre en place simplement et rapidement un systegraveme de base (Debian CentOs Red Hatehellip) ou mieux utilisent des variantes comme le mode laquo Hardened raquo (HLFS) afin de renforcer nettement le niveau de seacutecuriteacute Ce mo-de integravegre nativement des meacutecanismes de seacutecuriteacute sur la pile IP de lrsquoOS limite lrsquoexeacutecution des binaires des scripts et autres attaques et nutilise que les drivers neacutecessaireshellip coupleacutes uniquement aux services acti-veacutes par lrsquoadministrateur et utiles agrave la ToIP comme par exemple le WEB DHCP NTP TFTP lrsquoAsterisk le Ma-nager Asterisk SSH relay mailhellip En reacutesumeacute la plu-part des personnes concerneacutees utilisent simplement un systegraveme de base et se dirigent vers un laquo Harde-ned raquo lorsqursquoelles sont sensibles agrave la seacutecuriteacute Le LSF est geacuteneacuteralement reacuteserveacute au laquo Geek raquo aux construc-teurs etou eacutediteurs
Dans un autre registre le parameacutetrage drsquoAsterisk joue un rocircle essentiel dans la seacutecuriteacute de la solution de teacute-
Dans certaines actualiteacutes beaucoup ont entendu par-ler des enregistrements de lrsquoaffaire laquo Bettencourt raquohellip ou encore ont lu avec stupeacutefaction que certains opeacute-rateurs eacutetrangers nrsquoheacutesitaient pas agrave pirater des entre-prises drsquoautres pays afin de mettre en place des laquo pee-ring raquo de masse leur permettant de revendre des milliers de minutes par mois pour lrsquousage de leurs clientshellip
Drsquoautre part moins preacutesente en France lrsquoarnaque aux numeacuteros surtaxeacutes et agrave lusurpation didentiteacute le pro-ceacutedeacute est simple il consiste agrave appeler une personne en modifiant le numeacutero drsquoappelant par celui de quelqursquoun drsquoautre peu drsquoopeacuterateurs controcirclent ce type drsquoexerci-ce et ce controcircle est rendu quasi impossible dans le cas drsquoune communication VoIP internethellip
Une autre arnaque porte sur la modification de la synthegravese vocale afin de se faire passer pour quelqursquoun drsquoautre par le biais drsquoun simple outil de modulation de freacutequence vocale outil de plus en plus eacutevolueacute et qui permet par exemple de transformer la voix drsquoune fem-me en celle dun homme Les IPBX entreprise actuel-lement sur le marcheacute ne sont pas eacutequipeacutes aujourdrsquohui de meacutecanisme de laquo controcircle de conformiteacute raquo de la voix mais il est possible dans le cadre drsquoaffaires judiciaires de veacuterifier si une voix a eacuteteacute ou non modifieacute dans un en-registrement
A ce sujet drsquoailleurs seuls les opeacuterateurs sont contraints par commissions rogatoires deacutelivreacutees par les services judiciaires agrave mettre en place des eacutecoutes teacuteleacutephoniques Certaines techniques laquo drsquointerception leacutegale de trafic raquo se standardisent mecircme au niveau in-ternational comme le laquo Lawful interception raquo de la Com-munications Assistance for Law Enforcement Act (CA-LEA ou ETSI)
Cependant ne soyons pas alarmiste ce type drsquoatta-que neacutecessite une expertise et chacun agrave son niveau dispose de moyens plus ou moins eacutevolueacutes de se proteacute-ger avec des niveaux de seacutecuriteacute tregraves satisfaisants ou
Figure 1 Hausse rapide des vulneacuterabiliteacutes depuis 2006 (source NVD)
0
10
20
30
40
50
60
Nombre total de vulneacuterabiliteacutes de la voix sur IP
2002 2003 2004 2005 2006 2007 2008
7201010
DOSSIER
leacutephonie sur IP En effet lrsquoAsterisk est un service fondeacute sur un ensemble de fichiers de configuration en com-menccedilant par le laquo SIPconf raquo permettant de configurer les comptes SIP utilisateurs (SDA nombre drsquoappels si-multaneacutes max Nom Preacutenomhellip) les contextes auxquels ils sont rattacheacutes les CODEC agrave utiliser la gestion des droits drsquoappelshellip crsquoest ce fichier qui par exemple vous autorise ou non agrave appeler un 06 08 lrsquointernationalhellipet liste les services de ToIP que vous pourrez utiliser (dou-ble appel conf call voicemailhellip)
De plus le fichier laquo extensionconf raquo permet drsquoeacutetablir un dial plan drsquoautres types de contextes (interneexter-ne) des macroshellip la gestion des renvois pour autori-ser ou non un renvoi vers 06 ou 08
Une partie de la seacutecuriteacute du service laquo Asterisk raquo sappuie entre autres sur le laquo managerconf raquo Ce fichier repreacutesente lrsquoadministration du noyau Asterisk (Figure 2 laquo manager Asterisk raquo) Une des bonnes pratiques consiste agrave creacuteer uniquement un compte laquo super Administrateur raquo et agrave bien parameacutetrer le ni-veau de droit des utilisateurs lambda (users) et des autres administrateurs deacuteleacutegueacutes (Originate) Voici la synthegravese des eacuteleacutements parameacutetrables via le laquo mana-ger raquo
Nb Il est entre autres recommandeacute drsquoutiliser le SSH et drsquoactiver le mode de connexion SSL agrave lrsquointerface WEB du manager ou simplement de la deacutesactiver
LrsquoAsterisk sappuie aussi sur drsquoautres fichiers de configuration comme le laquo CDRconf raquo pour la ges-tion et le parameacutetrage des logs du call flowhelliple fichier laquo CDRmanagerconf raquo le laquo H323conf raquo laquo iaxconf raquo laquo queuesconf raquo etchellip
Geacuteneacuteralement et de plus en plus les utilisateurs comme les administrateurs sont friands drsquoutiliser une interface WEB (surcouche drsquoadministration) pour le parameacutetrage et lrsquoadministration de lrsquoAsterisk et de ses services Elle doit beacuteneacuteficier de diffeacuterents niveaux de seacutecuriteacute A minima trois niveaux par exemple laquo Root raquo laquo Admin raquo laquo utilisateur raquo qui permet drsquoauto-riser ou pas certaines modifications (ex modification
adresse mail SDA plan de SDA renvoi supervision) sans passer directement par les fichiers de configura-tion drsquoAsterisk
Il est aussi important de seacutelectionner le bon laquo dri-ver TAPI raquo pour les postes de travail et le click to dial par exemple afin de ne pas ecirctre obligeacute drsquooctroyer des droits suppleacutementaires sur le manager agrave un utilisateur lorsqursquoil tente drsquoutiliser cette fonction (De plus si quel-qursquoun eacutecoute les flux ou utilise un sniffer il a de grandes chances de reacutecupeacuterer le mot de passe administrateur du managerhellipil est donc preacutefeacuterable drsquoutiliser le mode laquo originate raquo)
Drsquoautre part le mode drsquoauthentification des teacuteleacutepho-nes IP reste somme toute assez basique puisque cer-tains flux sont en clairs et puisque le challenge est reacutealiseacute avec un hash simple en MD5 et pas de chiffre-menthellip Ce qui renforce lrsquoimportance de la politique de mot de passe
Pour finir les nouvelles releases en test beacuteneacuteficient deacutejagrave de certaines reacuteponses (V162) et drsquoavanceacutees en matiegravere de seacutecuriteacute comme le support TLS pour le SRTP le renforcement de certains meacutecanismes de seacute-curiteacute ou encore le support du T140 pour les messages texte le support du SS7 dans DAHDI lrsquoameacutelioration des CDR de la gestion du Dial Plan du laquo MeetMe raquo des files drsquoattente des nouvelles fonctions SIP et bien drsquoautreshellip
Les problegravemes protocolairesLa ToIP est maintenant une partie inteacutegrante des reacute-seaux LAN (voir la rubrique sites web) elle est donc soumise agrave un ensemble de probleacutematiques purement reacuteseau dont voici quelques exemples quelques soit les constructeurshellip
bull Le Deacuteni de service (DoS) sur VoIP qui consiste agrave lancer une multitude de requecirctes laquo flooding SIP raquo laquo TCP syn raquo ou laquo UDP raquo (par exemple deman-des drsquoenregistrement et dappelshellip) jusquagrave satura-tion des services VoIP Ces types dattaques ciblent souvent les serveurs les passerelles les proxy ou encore les teacuteleacutephones IP qui voient leurs res-sources sont rapidement eacutepuiseacutees par ces requecirc-tes dont lrsquoobjectif est de perturber voire mettre hors service le systegraveme cibleacute Une autre attaque eacutegale-ment reacutepandue consiste agrave envoyer des commandes laquo BYE raquo au teacuteleacutephone afin de mettre fin agrave la conver-sation en courshellip
bull La manipulation du contenu multimeacutedia et des si-gnaux est une attaque qui permet drsquoinjecter un fi-chier son dans un flux RTP par le biais drsquoune atta-que laquo RTP Insertsound raquo
bull Attaque par laquo relecture raquo ou laquo Deacutetournement den-registrement raquo de sessions autoriseacutees obtenues gracircce agrave une analyse de trame par un laquo sniffer raquo sur le reacuteseau ou par interception de trafic Cette atta-Figure 2 laquo manager Asterisk raquo
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 11
que se deacuteroule au niveau du protocole SIP elle uti-lise la commande laquo Register raquo qui sert agrave localiser un utilisateur par rapport agrave son adresse IP Le pi-rate peut alors rejouer ces sessions de laquo regis-ter raquo valide en modifiant uniquement lrsquoadresse IP de destination en sa faveurhellipCette attaque est due au fait que le protocole SIP transite une partie des informations en clair il est donc possible de met-tre en place du SIPS qui integravegre des meacutecanismes drsquoauthentification et assure lrsquointeacutegriteacute des donneacutees
bull Le laquo Man in the Middle raquo (figure 3 exemple drsquoeacutechange protocolaire) (MITM) est une des atta-ques les plus connues elle permet agrave lrsquoassaillant de se positionner entre le client et le serveur afin drsquoin-tercepter les flux cibleacutes qui sont eacutechangeacutes Le pi-rate usurpe alors lrsquoadresse MAC (spoof MAC) de ces 2 parties par lrsquoempoisonnement du cache ARP des switches (ex Ettercap + plugin laquo chk_poiso-ning raquo) afin drsquoecirctre transparent dans ces eacutechanges Les donneacutees transitent alors au travers du systegraveme pirate Dans le cas de la ToIP cette technique est utiliseacutee pour laquo lrsquoEavesdropping raquo (laquo Oreille indiscregrave-
te raquo) lui permettant ainsi drsquoeacutecouter et drsquoenregistrer les conversations entre les interlocuteurs mais aus-si de reacutecupeacuterer un ensemble drsquoinformations confi-dentielles cette technique est aussi utiliseacutee pour drsquoautres protocoles (SSL DNS SSHhellip)
bull Le laquo switch jamming raquo (figure 4 ARP spoofing at-taques) est une attaque qui consiste agrave saturer le plus rapidement possible les tables de commu-tation drsquoun commutateur avec des milliers de pa-quets contenant de fausses adresses MAC (floo-ding MAC) dans le but de le transformer en laquo mode reacutepeacuteteur raquo (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports Nb cette attaque ne fonctionne pas avec tous les commutateurs et elle est geacuteneacuteralement peu discregrave-tehellip
bull La deacuteviation par un paquet ICMP consiste agrave utiliser un geacuteneacuterateur de paquet du type laquo frameipexe raquo (disponible sur internet) et agrave forger ses propres pa-quets ICMP de deacuteviation (type 5) agrave destination du client afin de lui indiquer que la route utiliseacutee nrsquoest pas optimale et lui communiquer par la mecircme occa-
Figure 3 exemple drsquoeacutechange protocolaire
Client Attacker Server
Alice Proxy 1 Proxy 2 Bob
INVITE
Trying
Ringing
OK
INVITE
Trying
Ringing
OK
INViTE
Ringing
OK
AC K
Communication multimeacutedia
BYE
OK
7201012
DOSSIER
sion la nouvelle route qui permettra de rediriger les flux vers un hocircte pirate qui ferait office de passe-relle Lrsquoobjectif de cette attaque est multiple eacutecou-te enregistrement (comme pour MITM) DoShellip Il est important de noter que cette attaque ne per-met pas de rediriger le trafic dune connexion entre deux machines du mecircme reacuteseau local (mecircme plan adresse IP) puisque le trafic eacutechangeacute ne passe pas par une passerelle
bull laquo VLAN Hopping raquo consiste agrave deacutecouvrir le Ndeg de VLAN attribueacute agrave la ToIP (en reacutecupeacuterant la VLAN Database utilisation drsquoun sniferhellip) dans un envi-ronnement LAN et de marquer des trames Ether-net directement dans ce VLAN en forgeant ses pro-pres trames Cette technique permet de srsquoaffranchir drsquoune partie de la seacutecuriteacute associeacutee aux VLANshellip(label spoofing)
bull Dans certains cas un simple laquo brute force raquo sur le serveur TFTP laquo officiel raquo permet de teacuteleacutecharger la configuration complegravete drsquoun eacutequipement et drsquoap-prendre un certain nombre drsquoeacuteleacutementshellip
bull En SIP les eacutequipements beacuteneacuteficient drsquoune reacuteelle in-telligence embarqueacutee contrairement aux MGCP par exemplehellip il est donc possible de demander agrave un teacute-leacutephone laquo drsquoafficher raquo lors drsquoun appel agrave son destinatai-re un numeacutero de teacuteleacutephone diffeacuterent du sien En inter-ne cela nrsquoa que peu drsquoeffet Pourtant une personne pourrait preacutetendre appeler depuis le centre de seacutecuri-teacute ou le bureau du directeurhellip et demander lrsquoexeacutecution drsquoactions particuliegraveres par exemple De lrsquoexteacuterieur ecirctre discret se faire passer pour quelqursquoun autre ou en-core afficher systeacutematiquement pour tous les appels sortants un numeacutero tiers pirate (modification sur pas-serelle ou IPbx) Lorsque les destinataires tenteront de recontacter leurs collegravegues etou partenaires en faisant laquo BIS raquo ou rappeler dans lrsquohistorique des ap-pels ils tomberont systeacutematiquement sur le numeacutero (payant) qui eacutetait afficheacute (ex 14euro par appel)
Ports geacuteneacuteralement utiliseacutes en ToIPTFTP UDP 69MGCP UDP 2427LDAP TCP 389Backhaul (MGCP) UDP 2428TapiJtapi TCP 2748http TCP 808080SSL TCP 443SCCP TCP 3224Skinny TCP 2000-2002SNMP UDP 161SNMP Trap UDP 162DNS UDP 53SIP TCP 5060SIPTLS TCP 5061H323 RAS TCP 1719H323 H225 TCP 1720H323 H245 TCP 11000-11999H323 Gatekeeper Discovery UDP 1718RTP 16384-32767NTP UDP 123
Ensuite au niveau des applications
bull Apregraves avoir ameacutelioreacute la seacutecuriteacute sur vos reacuteseaux et vos protocoles il reste neacuteanmoins drsquoautres points noirs comme les interfaces graphiques des IPbx lrsquousage du mode HTTPS nrsquoest pas forceacute voire non activeacute
bull De plus au niveau des stations de travail lrsquoauthen-tification aux pages drsquoadministrations de lrsquoIPbx etou des interfaces utilisateurs peut ecirctre coupleacutee agrave des cookies ou du NTLM qui ne sont pas forcement un gage de seacutecuriteacute et encore moins quand lrsquoutilisa-teur demande agrave son navigateur de garder les mots de passe en meacutemoirehellip
bull Drsquoautre part il existe un nombre de failles etou de vulneacuterabiliteacutes non neacutegligeable directement sur
Figure 4 ARP spoofing attaques
Utilisateur 1 Utilisateur 2
ltlt Spoof MacAddress gtgt
ltlt Spoof MacAddress gtgt
Attaquantltlt Man in
the Middle gtgt
ltlt SwitchJamming gtgt
Ethernet Switch
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 13
les interfaces des IPbx exeacutecution forceacutee de script comme le laquo cross site scripting raquo ou autres la falsi-fication des requecirctes inter-sites injections de don-neacuteeshellip
bull Plus simplement par deacutefaut les eacutequipements ToIP beacuteneacuteficient de services standard activeacutes (ex tel-net ouvert port SNMP et readwrite avec commu-nity name par deacutefaut interface Web de configura-tion de lrsquoeacutequipement permettant la modification de la configuration en http reacutecupeacuteration drsquoinformations directes statistiques reboot agrave distance port de troubleshooting authentification basique Services echo et time ouvertshellip) Toutes ces inattentions sur les eacutequipements facilitent souvent les actions dune personne mal intentionneacuteehellip
Quelques techniques utiliseacutees par les piratesGeacuteneacuteralement un simple laquo Snifer raquo sur votre LAN per-mettra agrave un pirate de reacutecupeacuterer une multitude drsquoinforma-tions telles que les protocoles utiliseacutes sur votre reacuteseau (CDP STP DNS DHCP LDAP MAPIhellip) et drsquoobtenir des renseignements sur votre plan adressage IP vos VLANs codecs utiliseacutes utilisateurs login mot de pas-se deacutecouverte de vos infrastructures de la topologie la marque des eacutequipements les IOS vos serveurs leurs OS et versions version des applicationshellip
bull Le ldquofuzzingrdquo est une meacutethode permettant de tester les logiciels et de mettre en eacutevidence des dysfonc-tionnements potentiels afin de constater la reacuteaction du systegraveme lorsquil reccediloit de fausses informations Cette meacutethode utilise un certain nombre drsquooutils de seacutecuriteacute utiliseacutes notamment lors drsquoaudits mais cer-taines personnes mal intentionneacutees srsquoen servent dans le but de trouver et exploiter des failles (comp-te administrateur augmentation des deacutelais DOS eacutecoutehellip)
bull Spam VoIP ou SPIT (Spam Over Internet Tele-phony) - le SPIT est comme son nom lrsquoindique un SPAM dont lobjectif est la diffusion dun mes-sage publicitaire en initiant etou relayant un maxi-mum drsquoappels agrave lrsquoaide de laquo Bots raquo agrave destination de millions dutilisateurs VoIP depuis le systegraveme com-promis Cette technique a de multiples conseacutequen-ces comme la saturation du systegraveme des MEVO des communications simultaneacuteeshellip Une utilisation deacutetourneacutee du SPIT consiste aussi agrave initier un maxi-mum drsquoappels agrave destination de Ndeg surtaxeacutes dans le but drsquoenrichir des organisations malveillanteshellip
bull Vishing (Voice Phishing) ndash Cette technique est comparable au laquo phishing raquo traditionnel dans le but drsquoinciter des utilisateurs agrave divulguer des don-neacutees confidentielles voire sensibles (par exemple noms dutilisateur mots de passe et ou numeacuteros de compte Ndeg de seacutecuriteacute sociale code bancaire adresses coordonneacuteeshellip) Dans notre cas crsquoest un
SPIT qui diffuse un message demandant aux utili-sateurs drsquoappeler un numeacutero speacutecifique pour veacuteri-fier les informations en questions et il ne reste plus qursquoagrave attendre que le teacuteleacutephone sonne Apregraves avoir reacutecupeacutereacute ces donneacutees le pirate les utilise ou les vend agrave des tiers
bull Vol dadresses eacutelectroniques ndash Lrsquousage du laquo Voi-cemail raquo se multipliant chaque utilisateur ou pres-que beacuteneacuteficie drsquoune adresse de messagerie eacutelec-tronique associeacutee cette attaque consiste agrave bom-barder le serveur de laquo voicemail raquo du domaine ToIP avec des milliers drsquoadresses mail de test (ex nomprenomclientfr nomprenomclientfr nomclientcom) Chaque adresse non valide est re-tourneacutee pour le reste lrsquoattaquant peut ainsi en deacute-duire un certain nombre drsquoadresses mail valides qursquoil pourra alors utiliser agrave sa guise pour drsquoautres at-taques (SPIT Vishing SPAM mailhellip)
bull Deacutetournement de trafic ou laquo Phreaking raquo est une meacutethode historique degraves les deacutebuts de la teacuteleacutephonie elle consiste agrave ne pas payer les communications et agrave rester anonyme En ToIP ce deacutetournement s ef-fectue apregraves reacutecupeacuteration dun couple loginpass valide ou apregraves accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone Les pionniers du laquo Phrea-king raquo (Cf figure 5) Imaginons maintenant que le pirate ait reacuteussi (par diffeacuterents moyens) agrave obtenir un login aux droits suffisants pour modifier la confi-guration de votre Ipbx Il peut alors parameacutetrer un laquo Trunck raquo agrave destination drsquoun autre IPbx et organi-ser la revente de minutes par dizaines de milliers dans un autre payshellip en utilisant le mecircme concept
Exemple de quelques outils SIPtap Wireshark VOMIT (Voice Over Misconfigured Internet Telephones) VoIPong NESUS nmap troyens divers UCSniff (ARP Saver VLAN Hopping) Digitask pour skype SIVUS Teardown Cain Backtrack Dsniff YLTI scapy SIPcrackhellip
Figure 5 accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
hakin9orgfr 7
ACTUALITEacuteS
Daniel avait chercheacute agrave vendre ces informations aux services de renseignements allemands demandant pregraves de 2 millions de pound Finalement apregraves de nomb-reuses neacutegociations il a baisseacute le prix agrave 900 000 pound La transaction devait ecirctre reacutealiseacutee agrave Londres mais Daniel a eacuteteacute arrecircteacute juste avant niant les faits Depuis il a plaideacute coupable Le jugement aura lieu le 3 septembre en at-tendant de nombreuses investigations continuent
Skype le secret reacuteveacuteleacute au grand jourLe 7 juillet aura eacuteteacute une date noire pour Skype crsquoest agrave cette date que Sean OrsquoNeil a publieacute agrave lrsquoaide drsquoune eacutequi-pe de laquo reverse engineers raquo lrsquoalgorithme drsquoencryptage de Skype
Cet algorithme eacutetait tenu secret par lrsquoeacutequipe de Skype Or maintenant il est reacuteveacuteleacute au grand jour
Sean OrsquoNeil explique sur son blog (article qui peut ecirctre visualiseacute gracircce au cache de Google car supprimeacute de son blog) que son code avait eacuteteacute voleacute il y a que-lques mois eacutetait utiliseacute par des pirates informatiques reacutealisant du spam etc Degraves lors Skype eacutetait remonteacute jusqursquoagrave lui lrsquoaccusant de jouer un rocircle preacutedominant avec les spammers etc
Quant agrave lui pour se justifier il propose du code en C tout en argumentant son acte il souhaite rendre Skype plus seacutecuriseacute
Quand les Hackers rencontrent les laquo pirates raquo Le fameux site de partage de fichiers a eacuteteacute victime drsquoun groupe de chercheurs argentins sous la direc-tion de Ch Russo Ils ont reacuteussi agrave acceacuteder agrave lrsquointerface drsquoadministration du site gracircce agrave de nombreuses vulneacute-rabiliteacutes telles que des SQL Injection
Degraves lors ils ont pu avoir accegraves agrave la base de donneacutees qui recensait pregraves de 4 millions drsquoutilisateurs 4 millions drsquoutilisateurs repreacutesentent un nombre tregraves important surtout pour lrsquoune des plates-formes les plus connues et les plus meacutediatiseacutees vu le nombre de procegraves auxquels ses dirigeants ont ducirc faire face Ces informations sont une veacuteritable mine drsquoor pour les personnes cherchant agrave mettre la main sur les utilisateurs pratiquant le teacuteleacutechar-gement Les chercheurs argentins pouvaient reacutealiser de nombreuses interactions comme par exemple creacuteer supprimer modifier ou encore voir les informations sur les utilisateurs incluant tous leurs torrents hellip
Russo a expliqueacute dans un communiqueacute que lui et ses associeacutes nrsquoont ni alteacutereacute ni supprimeacute une quelconque in-formation dans la base de donneacutees
Parallegravelement il a assureacute qursquoil ne vendrait aucune in-formation reacutecupeacutereacutee lors de cette intrusion Il souhaitait seulement deacutemontrer que les informations des memb-res nrsquoeacutetaient pas bien proteacutegeacutees et qursquoil eacutetait tout agrave fait possible de les reacutecupeacuterer Heureusement ces informa-tions ne soient pas tombeacutees dans de mauvaises mains
ce qui aurait provoqueacute un incident majeur sur toute cette communauteacute
Des problegravemes pour le FBI et lrsquoencryptage de plusieurs disques durs En juillet 2008 la police avait saisi 5 disques durs ap-partenant agrave un banquier breacutesilien Daniel Dantas sou-pccedilonneacute de nombreux crimes
Les autoriteacutes breacutesiliennes ont constateacute que les don-neacutees eacutetaient chiffreacutees
De nombreuses analyses ont reacuteveacuteleacute que les fichiers avaient eacuteteacute encrypteacutes agrave lrsquoaide de deux algorithmes dont TrueCrypt et un autre non identifieacute (certainement fondeacute sur 256-bit AES) De plus il nrsquoexiste pas (comme au Royaume-Uni par exemple) de loi forccedilant lrsquoutilisateur agrave donner sa cleacute de cryptage
Malgreacute un an drsquoeacutetudes et de tests le FBI nrsquoa pas reacuteussi agrave casser le systegraveme En conseacutequence sans les preuves informatiques des fraudes financiegraveres les enquecircteurs auront des difficulteacutes agrave poursuivre DANTAS
Les prochains mois nous permettront drsquoy voir un peu plus clair agrave ce sujet tout en suivant lrsquoaffaire
Cracking de password une nouvelle deacutecouverte surprenante Les chercheurs Nate Lawson et Taylor Nelson preacuteten-dent avoir deacutecouvert une faille de seacutecuriteacute qui affecte de nombreux systegravemes drsquoauthentification tels que Oauth ou encore OpenID Ces systegravemes sont tregraves fortement utiliseacutes sur des sites tels que Twitter hellip
Les cryptographes sont informeacutes des attaques dites laquo temporelles raquo depuis de nombreuses anneacutees ma-is nrsquoont jamais pris la menace tregraves au seacuterieux car elle semblait trop difficile agrave mettre en place sur un reacuteseau (problegravemes de latence etc ) puisque cette attaque est fondeacutee sur le temps
Lrsquoarticle preacutesente un cas inteacuteressant certains systegravemes veacuterifient que le login password correspond agrave chaque nouvelle insertion de caractegravere
Degraves lors les chercheurs en arrivent agrave la conclusion qursquoun mauvais essai de login arrive plus vite qursquoun login ougrave le premier caractegravere du login est bon (Le systegraveme renvoie un mauvais login degraves qursquoil deacutetecte un mauvais caractegravere)
Gracircce agrave ce facteur de laquo temps raquo il est possible de de-viner un mot de passe et ainsi contourner les systegravemes drsquoauthentification
Nate et Taylor souhaitent discuter de ces attaques agrave la Black Hat confeacuterence qui se tiendra fin aoucirct agrave Las Ve-gas Drsquoautres articles ou documentations nous en diront certainement plus sur lrsquoexploitation drsquoattaque de type laquo temporelle raquo
News reacutedigeacutes par Paul AMAR
72010
DOSSIER
Le monde de la teacuteleacutephonie est plus que jamais en eacutevolution ces derniegraveres anneacutees En effet apregraves le passage de la teacuteleacutephonie traditionnelle vers la
VoIP (voix sur reacuteseau IP) un grand nombre drsquoacteurs plus ou moins historiques proposent maintenant des solutions apportant des services agrave valeurs ajouteacutees
Alcatel fait toujours partie des leaders du marcheacute mecircme srsquoil a perdu des parts non neacutegligeables sur ce marcheacute drsquoautres ont reacuteussi agrave exploiter davantage lrsquoIP comme Cisco Avaya Mitelhellip ou encore un autre qursquoil nrsquoest plus neacutecessaire de preacutesenter Asterisk sous toutes ses formeshellip
Il y a encore 5 ans Asterisk repreacutesentait ~02 de parts de marcheacute puis en quelques anneacutees pregraves de 4 et maintenant il atteint pregraves de 7 du marcheacute mondial en 2010 Certains opeacuterateurs utilisent mecircme un noyau Asterisk pour leurs offres Centrex et ont agrave minima valideacute lrsquoAsterisk V14 etou V16 pour leurs solutions laquo Trunk-SIP raquo Asterisk beacuteneacuteficie maintenant drsquoune reacutesonance toute particuliegravere mecircme aux yeux des grandes entre-prises
Autant dire que la communauteacute Asterisk est compara-ble aux autres communauteacutes telles que Squid MySQL Apachehellip qursquoelle se porte bien et a encore de beaux jours devant elle
Ce succegraves est principalement ducirc au caractegravere laquo Open Source raquo drsquoAsterisk et agrave une certaine maturiteacute technologi-que qui lui permet maintenant drsquoecirctre aussi fiable et per-formant que les solutions leader De plus lrsquoensemble des fonctionnaliteacutes proposeacutees srsquoeacutetoffent agrave chaque version agrave
tel point qursquoaujourdrsquohui Asterisk possegravede des fonctions qui ne sont pas aux catalogues des grands constructeurs et surtout adaptables laquo sur mesure raquo agrave votre environne-ment afin de lrsquointerfacer dans des systegravemes drsquoinforma-tions complexes La flexibiliteacute drsquoAsterisk est un atout ma-jeur face aux autres solutions packageacutees
Asterisk permet notamment en plus de tous les servi-ces dit laquo classiques raquo de mettre en place des services tels que softphone voicemail MEVO PoPC statisti-que (CDR) call center Fax-mail interface speacutecifique IVR Confeacuterence provisionning automatique SMS passerelle mobile enregistrement text-To-Speech ACD Ldap taxation CRM supervision annuaire re-connaissance du numeacutero depuis lrsquoexteacuterieur gestion de Preacutesence des files drsquoattentes messagerie instantaneacutee couplage avec Wifi et DECT IP couplage avec visio-confeacuterence le chuchotement CTI T9 annuaire unifieacute musique drsquoattentehellip
Cependant la ToIPVoIP souffre encore drsquoune mau-vaise image drsquoun point de vue seacutecuriteacutehellipEn effet les reacuteseaux voix historiquement isoleacutes fusionnent de plus en plus avec les reacuteseaux de donneacutees ils sont donc plus sensibles aux attaques drsquoun piratage Les impacts peu-vent ecirctre variables confidentialiteacute dysfonctionnements usurpations eacutecoute changements des annonces de lrsquoIPbx accegraves aux messageries vocales contournement de la politique de seacutecuriteacute DATA (backdoors) perte fi-nanciegravere etchellip alors qursquoil existe un ensemble de solu-tions qui permettent de maitriser la seacutecuriteacute de son sys-tegraveme de teacuteleacutephonie sur IP
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
Asterisk est une solution Open Source innovante qui a fait ses preuves Historiquement conccedilu par un eacutetudiant en 1999 Mark Spencer avait un recircve il souhaitait deacutemocratiser la teacuteleacutephonie sur IP et concurrencer les plus grands Aujourdrsquohui utiliseacute par des particuliers comme de grandes entreprises et posseacutedant un reacuteel potentiel drsquoeacutevolution Asterisk apporte un nouveau souffle agrave la ToIPhellip
Cet article expliquehellipbull Les fondamentaux drsquoAsterisk bull Comment exploiter les vulneacuterabiliteacutes protocolaires de la ToIPbull Les meacutethodes drsquoattaques et les outilsbull Les bonnes pratiques pour se proteacuteger
Ce qursquoil faut savoirhellipbull Notion de reacuteseau et des protocolesbull Notion de ToIP
David Hureacute
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 9
au moins eacutequivalents agrave celui des anciens systegravemes de teacuteleacutephonie traditionnels
Nous allons en deacutetailler certains drsquoentre eux en com-menccedilant par la seacutecuriteacute de lrsquoOS qui supporte votre IPBX geacuteneacuteralement sous noyau Linux il existe deux eacutecoles Il y a ceux qui optimisent inteacutegralement lrsquoOS utiliseacute tech-nique tregraves efficace et beacuteneacuteficie drsquoavantages indeacuteniables comme les performances la seacutecuriteacute optimale la sta-biliteacute accruehellip et reacutepondent agrave des besoins speacutecifiques voire industriels
Cependant cette technique neacutecessite des compeacute-tences avanceacutees En effet partir drsquoun LFS laquo Linux from scratch raquo et compiler uniquement les modules drivers et paquets neacutecessaires afin drsquooptimiser inteacutegralement le noyau nrsquoest pas donneacute agrave tous cela reste manuel long et complexe et de plus aucun suivi de version nrsquoest applicable automatiquement Il faut mettre en place sa propre gestion des deacutependanceshellip
De lrsquoautre cocircteacute il y a ceux qui souhaitent mettre en place simplement et rapidement un systegraveme de base (Debian CentOs Red Hatehellip) ou mieux utilisent des variantes comme le mode laquo Hardened raquo (HLFS) afin de renforcer nettement le niveau de seacutecuriteacute Ce mo-de integravegre nativement des meacutecanismes de seacutecuriteacute sur la pile IP de lrsquoOS limite lrsquoexeacutecution des binaires des scripts et autres attaques et nutilise que les drivers neacutecessaireshellip coupleacutes uniquement aux services acti-veacutes par lrsquoadministrateur et utiles agrave la ToIP comme par exemple le WEB DHCP NTP TFTP lrsquoAsterisk le Ma-nager Asterisk SSH relay mailhellip En reacutesumeacute la plu-part des personnes concerneacutees utilisent simplement un systegraveme de base et se dirigent vers un laquo Harde-ned raquo lorsqursquoelles sont sensibles agrave la seacutecuriteacute Le LSF est geacuteneacuteralement reacuteserveacute au laquo Geek raquo aux construc-teurs etou eacutediteurs
Dans un autre registre le parameacutetrage drsquoAsterisk joue un rocircle essentiel dans la seacutecuriteacute de la solution de teacute-
Dans certaines actualiteacutes beaucoup ont entendu par-ler des enregistrements de lrsquoaffaire laquo Bettencourt raquohellip ou encore ont lu avec stupeacutefaction que certains opeacute-rateurs eacutetrangers nrsquoheacutesitaient pas agrave pirater des entre-prises drsquoautres pays afin de mettre en place des laquo pee-ring raquo de masse leur permettant de revendre des milliers de minutes par mois pour lrsquousage de leurs clientshellip
Drsquoautre part moins preacutesente en France lrsquoarnaque aux numeacuteros surtaxeacutes et agrave lusurpation didentiteacute le pro-ceacutedeacute est simple il consiste agrave appeler une personne en modifiant le numeacutero drsquoappelant par celui de quelqursquoun drsquoautre peu drsquoopeacuterateurs controcirclent ce type drsquoexerci-ce et ce controcircle est rendu quasi impossible dans le cas drsquoune communication VoIP internethellip
Une autre arnaque porte sur la modification de la synthegravese vocale afin de se faire passer pour quelqursquoun drsquoautre par le biais drsquoun simple outil de modulation de freacutequence vocale outil de plus en plus eacutevolueacute et qui permet par exemple de transformer la voix drsquoune fem-me en celle dun homme Les IPBX entreprise actuel-lement sur le marcheacute ne sont pas eacutequipeacutes aujourdrsquohui de meacutecanisme de laquo controcircle de conformiteacute raquo de la voix mais il est possible dans le cadre drsquoaffaires judiciaires de veacuterifier si une voix a eacuteteacute ou non modifieacute dans un en-registrement
A ce sujet drsquoailleurs seuls les opeacuterateurs sont contraints par commissions rogatoires deacutelivreacutees par les services judiciaires agrave mettre en place des eacutecoutes teacuteleacutephoniques Certaines techniques laquo drsquointerception leacutegale de trafic raquo se standardisent mecircme au niveau in-ternational comme le laquo Lawful interception raquo de la Com-munications Assistance for Law Enforcement Act (CA-LEA ou ETSI)
Cependant ne soyons pas alarmiste ce type drsquoatta-que neacutecessite une expertise et chacun agrave son niveau dispose de moyens plus ou moins eacutevolueacutes de se proteacute-ger avec des niveaux de seacutecuriteacute tregraves satisfaisants ou
Figure 1 Hausse rapide des vulneacuterabiliteacutes depuis 2006 (source NVD)
0
10
20
30
40
50
60
Nombre total de vulneacuterabiliteacutes de la voix sur IP
2002 2003 2004 2005 2006 2007 2008
7201010
DOSSIER
leacutephonie sur IP En effet lrsquoAsterisk est un service fondeacute sur un ensemble de fichiers de configuration en com-menccedilant par le laquo SIPconf raquo permettant de configurer les comptes SIP utilisateurs (SDA nombre drsquoappels si-multaneacutes max Nom Preacutenomhellip) les contextes auxquels ils sont rattacheacutes les CODEC agrave utiliser la gestion des droits drsquoappelshellip crsquoest ce fichier qui par exemple vous autorise ou non agrave appeler un 06 08 lrsquointernationalhellipet liste les services de ToIP que vous pourrez utiliser (dou-ble appel conf call voicemailhellip)
De plus le fichier laquo extensionconf raquo permet drsquoeacutetablir un dial plan drsquoautres types de contextes (interneexter-ne) des macroshellip la gestion des renvois pour autori-ser ou non un renvoi vers 06 ou 08
Une partie de la seacutecuriteacute du service laquo Asterisk raquo sappuie entre autres sur le laquo managerconf raquo Ce fichier repreacutesente lrsquoadministration du noyau Asterisk (Figure 2 laquo manager Asterisk raquo) Une des bonnes pratiques consiste agrave creacuteer uniquement un compte laquo super Administrateur raquo et agrave bien parameacutetrer le ni-veau de droit des utilisateurs lambda (users) et des autres administrateurs deacuteleacutegueacutes (Originate) Voici la synthegravese des eacuteleacutements parameacutetrables via le laquo mana-ger raquo
Nb Il est entre autres recommandeacute drsquoutiliser le SSH et drsquoactiver le mode de connexion SSL agrave lrsquointerface WEB du manager ou simplement de la deacutesactiver
LrsquoAsterisk sappuie aussi sur drsquoautres fichiers de configuration comme le laquo CDRconf raquo pour la ges-tion et le parameacutetrage des logs du call flowhelliple fichier laquo CDRmanagerconf raquo le laquo H323conf raquo laquo iaxconf raquo laquo queuesconf raquo etchellip
Geacuteneacuteralement et de plus en plus les utilisateurs comme les administrateurs sont friands drsquoutiliser une interface WEB (surcouche drsquoadministration) pour le parameacutetrage et lrsquoadministration de lrsquoAsterisk et de ses services Elle doit beacuteneacuteficier de diffeacuterents niveaux de seacutecuriteacute A minima trois niveaux par exemple laquo Root raquo laquo Admin raquo laquo utilisateur raquo qui permet drsquoauto-riser ou pas certaines modifications (ex modification
adresse mail SDA plan de SDA renvoi supervision) sans passer directement par les fichiers de configura-tion drsquoAsterisk
Il est aussi important de seacutelectionner le bon laquo dri-ver TAPI raquo pour les postes de travail et le click to dial par exemple afin de ne pas ecirctre obligeacute drsquooctroyer des droits suppleacutementaires sur le manager agrave un utilisateur lorsqursquoil tente drsquoutiliser cette fonction (De plus si quel-qursquoun eacutecoute les flux ou utilise un sniffer il a de grandes chances de reacutecupeacuterer le mot de passe administrateur du managerhellipil est donc preacutefeacuterable drsquoutiliser le mode laquo originate raquo)
Drsquoautre part le mode drsquoauthentification des teacuteleacutepho-nes IP reste somme toute assez basique puisque cer-tains flux sont en clairs et puisque le challenge est reacutealiseacute avec un hash simple en MD5 et pas de chiffre-menthellip Ce qui renforce lrsquoimportance de la politique de mot de passe
Pour finir les nouvelles releases en test beacuteneacuteficient deacutejagrave de certaines reacuteponses (V162) et drsquoavanceacutees en matiegravere de seacutecuriteacute comme le support TLS pour le SRTP le renforcement de certains meacutecanismes de seacute-curiteacute ou encore le support du T140 pour les messages texte le support du SS7 dans DAHDI lrsquoameacutelioration des CDR de la gestion du Dial Plan du laquo MeetMe raquo des files drsquoattente des nouvelles fonctions SIP et bien drsquoautreshellip
Les problegravemes protocolairesLa ToIP est maintenant une partie inteacutegrante des reacute-seaux LAN (voir la rubrique sites web) elle est donc soumise agrave un ensemble de probleacutematiques purement reacuteseau dont voici quelques exemples quelques soit les constructeurshellip
bull Le Deacuteni de service (DoS) sur VoIP qui consiste agrave lancer une multitude de requecirctes laquo flooding SIP raquo laquo TCP syn raquo ou laquo UDP raquo (par exemple deman-des drsquoenregistrement et dappelshellip) jusquagrave satura-tion des services VoIP Ces types dattaques ciblent souvent les serveurs les passerelles les proxy ou encore les teacuteleacutephones IP qui voient leurs res-sources sont rapidement eacutepuiseacutees par ces requecirc-tes dont lrsquoobjectif est de perturber voire mettre hors service le systegraveme cibleacute Une autre attaque eacutegale-ment reacutepandue consiste agrave envoyer des commandes laquo BYE raquo au teacuteleacutephone afin de mettre fin agrave la conver-sation en courshellip
bull La manipulation du contenu multimeacutedia et des si-gnaux est une attaque qui permet drsquoinjecter un fi-chier son dans un flux RTP par le biais drsquoune atta-que laquo RTP Insertsound raquo
bull Attaque par laquo relecture raquo ou laquo Deacutetournement den-registrement raquo de sessions autoriseacutees obtenues gracircce agrave une analyse de trame par un laquo sniffer raquo sur le reacuteseau ou par interception de trafic Cette atta-Figure 2 laquo manager Asterisk raquo
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 11
que se deacuteroule au niveau du protocole SIP elle uti-lise la commande laquo Register raquo qui sert agrave localiser un utilisateur par rapport agrave son adresse IP Le pi-rate peut alors rejouer ces sessions de laquo regis-ter raquo valide en modifiant uniquement lrsquoadresse IP de destination en sa faveurhellipCette attaque est due au fait que le protocole SIP transite une partie des informations en clair il est donc possible de met-tre en place du SIPS qui integravegre des meacutecanismes drsquoauthentification et assure lrsquointeacutegriteacute des donneacutees
bull Le laquo Man in the Middle raquo (figure 3 exemple drsquoeacutechange protocolaire) (MITM) est une des atta-ques les plus connues elle permet agrave lrsquoassaillant de se positionner entre le client et le serveur afin drsquoin-tercepter les flux cibleacutes qui sont eacutechangeacutes Le pi-rate usurpe alors lrsquoadresse MAC (spoof MAC) de ces 2 parties par lrsquoempoisonnement du cache ARP des switches (ex Ettercap + plugin laquo chk_poiso-ning raquo) afin drsquoecirctre transparent dans ces eacutechanges Les donneacutees transitent alors au travers du systegraveme pirate Dans le cas de la ToIP cette technique est utiliseacutee pour laquo lrsquoEavesdropping raquo (laquo Oreille indiscregrave-
te raquo) lui permettant ainsi drsquoeacutecouter et drsquoenregistrer les conversations entre les interlocuteurs mais aus-si de reacutecupeacuterer un ensemble drsquoinformations confi-dentielles cette technique est aussi utiliseacutee pour drsquoautres protocoles (SSL DNS SSHhellip)
bull Le laquo switch jamming raquo (figure 4 ARP spoofing at-taques) est une attaque qui consiste agrave saturer le plus rapidement possible les tables de commu-tation drsquoun commutateur avec des milliers de pa-quets contenant de fausses adresses MAC (floo-ding MAC) dans le but de le transformer en laquo mode reacutepeacuteteur raquo (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports Nb cette attaque ne fonctionne pas avec tous les commutateurs et elle est geacuteneacuteralement peu discregrave-tehellip
bull La deacuteviation par un paquet ICMP consiste agrave utiliser un geacuteneacuterateur de paquet du type laquo frameipexe raquo (disponible sur internet) et agrave forger ses propres pa-quets ICMP de deacuteviation (type 5) agrave destination du client afin de lui indiquer que la route utiliseacutee nrsquoest pas optimale et lui communiquer par la mecircme occa-
Figure 3 exemple drsquoeacutechange protocolaire
Client Attacker Server
Alice Proxy 1 Proxy 2 Bob
INVITE
Trying
Ringing
OK
INVITE
Trying
Ringing
OK
INViTE
Ringing
OK
AC K
Communication multimeacutedia
BYE
OK
7201012
DOSSIER
sion la nouvelle route qui permettra de rediriger les flux vers un hocircte pirate qui ferait office de passe-relle Lrsquoobjectif de cette attaque est multiple eacutecou-te enregistrement (comme pour MITM) DoShellip Il est important de noter que cette attaque ne per-met pas de rediriger le trafic dune connexion entre deux machines du mecircme reacuteseau local (mecircme plan adresse IP) puisque le trafic eacutechangeacute ne passe pas par une passerelle
bull laquo VLAN Hopping raquo consiste agrave deacutecouvrir le Ndeg de VLAN attribueacute agrave la ToIP (en reacutecupeacuterant la VLAN Database utilisation drsquoun sniferhellip) dans un envi-ronnement LAN et de marquer des trames Ether-net directement dans ce VLAN en forgeant ses pro-pres trames Cette technique permet de srsquoaffranchir drsquoune partie de la seacutecuriteacute associeacutee aux VLANshellip(label spoofing)
bull Dans certains cas un simple laquo brute force raquo sur le serveur TFTP laquo officiel raquo permet de teacuteleacutecharger la configuration complegravete drsquoun eacutequipement et drsquoap-prendre un certain nombre drsquoeacuteleacutementshellip
bull En SIP les eacutequipements beacuteneacuteficient drsquoune reacuteelle in-telligence embarqueacutee contrairement aux MGCP par exemplehellip il est donc possible de demander agrave un teacute-leacutephone laquo drsquoafficher raquo lors drsquoun appel agrave son destinatai-re un numeacutero de teacuteleacutephone diffeacuterent du sien En inter-ne cela nrsquoa que peu drsquoeffet Pourtant une personne pourrait preacutetendre appeler depuis le centre de seacutecuri-teacute ou le bureau du directeurhellip et demander lrsquoexeacutecution drsquoactions particuliegraveres par exemple De lrsquoexteacuterieur ecirctre discret se faire passer pour quelqursquoun autre ou en-core afficher systeacutematiquement pour tous les appels sortants un numeacutero tiers pirate (modification sur pas-serelle ou IPbx) Lorsque les destinataires tenteront de recontacter leurs collegravegues etou partenaires en faisant laquo BIS raquo ou rappeler dans lrsquohistorique des ap-pels ils tomberont systeacutematiquement sur le numeacutero (payant) qui eacutetait afficheacute (ex 14euro par appel)
Ports geacuteneacuteralement utiliseacutes en ToIPTFTP UDP 69MGCP UDP 2427LDAP TCP 389Backhaul (MGCP) UDP 2428TapiJtapi TCP 2748http TCP 808080SSL TCP 443SCCP TCP 3224Skinny TCP 2000-2002SNMP UDP 161SNMP Trap UDP 162DNS UDP 53SIP TCP 5060SIPTLS TCP 5061H323 RAS TCP 1719H323 H225 TCP 1720H323 H245 TCP 11000-11999H323 Gatekeeper Discovery UDP 1718RTP 16384-32767NTP UDP 123
Ensuite au niveau des applications
bull Apregraves avoir ameacutelioreacute la seacutecuriteacute sur vos reacuteseaux et vos protocoles il reste neacuteanmoins drsquoautres points noirs comme les interfaces graphiques des IPbx lrsquousage du mode HTTPS nrsquoest pas forceacute voire non activeacute
bull De plus au niveau des stations de travail lrsquoauthen-tification aux pages drsquoadministrations de lrsquoIPbx etou des interfaces utilisateurs peut ecirctre coupleacutee agrave des cookies ou du NTLM qui ne sont pas forcement un gage de seacutecuriteacute et encore moins quand lrsquoutilisa-teur demande agrave son navigateur de garder les mots de passe en meacutemoirehellip
bull Drsquoautre part il existe un nombre de failles etou de vulneacuterabiliteacutes non neacutegligeable directement sur
Figure 4 ARP spoofing attaques
Utilisateur 1 Utilisateur 2
ltlt Spoof MacAddress gtgt
ltlt Spoof MacAddress gtgt
Attaquantltlt Man in
the Middle gtgt
ltlt SwitchJamming gtgt
Ethernet Switch
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 13
les interfaces des IPbx exeacutecution forceacutee de script comme le laquo cross site scripting raquo ou autres la falsi-fication des requecirctes inter-sites injections de don-neacuteeshellip
bull Plus simplement par deacutefaut les eacutequipements ToIP beacuteneacuteficient de services standard activeacutes (ex tel-net ouvert port SNMP et readwrite avec commu-nity name par deacutefaut interface Web de configura-tion de lrsquoeacutequipement permettant la modification de la configuration en http reacutecupeacuteration drsquoinformations directes statistiques reboot agrave distance port de troubleshooting authentification basique Services echo et time ouvertshellip) Toutes ces inattentions sur les eacutequipements facilitent souvent les actions dune personne mal intentionneacuteehellip
Quelques techniques utiliseacutees par les piratesGeacuteneacuteralement un simple laquo Snifer raquo sur votre LAN per-mettra agrave un pirate de reacutecupeacuterer une multitude drsquoinforma-tions telles que les protocoles utiliseacutes sur votre reacuteseau (CDP STP DNS DHCP LDAP MAPIhellip) et drsquoobtenir des renseignements sur votre plan adressage IP vos VLANs codecs utiliseacutes utilisateurs login mot de pas-se deacutecouverte de vos infrastructures de la topologie la marque des eacutequipements les IOS vos serveurs leurs OS et versions version des applicationshellip
bull Le ldquofuzzingrdquo est une meacutethode permettant de tester les logiciels et de mettre en eacutevidence des dysfonc-tionnements potentiels afin de constater la reacuteaction du systegraveme lorsquil reccediloit de fausses informations Cette meacutethode utilise un certain nombre drsquooutils de seacutecuriteacute utiliseacutes notamment lors drsquoaudits mais cer-taines personnes mal intentionneacutees srsquoen servent dans le but de trouver et exploiter des failles (comp-te administrateur augmentation des deacutelais DOS eacutecoutehellip)
bull Spam VoIP ou SPIT (Spam Over Internet Tele-phony) - le SPIT est comme son nom lrsquoindique un SPAM dont lobjectif est la diffusion dun mes-sage publicitaire en initiant etou relayant un maxi-mum drsquoappels agrave lrsquoaide de laquo Bots raquo agrave destination de millions dutilisateurs VoIP depuis le systegraveme com-promis Cette technique a de multiples conseacutequen-ces comme la saturation du systegraveme des MEVO des communications simultaneacuteeshellip Une utilisation deacutetourneacutee du SPIT consiste aussi agrave initier un maxi-mum drsquoappels agrave destination de Ndeg surtaxeacutes dans le but drsquoenrichir des organisations malveillanteshellip
bull Vishing (Voice Phishing) ndash Cette technique est comparable au laquo phishing raquo traditionnel dans le but drsquoinciter des utilisateurs agrave divulguer des don-neacutees confidentielles voire sensibles (par exemple noms dutilisateur mots de passe et ou numeacuteros de compte Ndeg de seacutecuriteacute sociale code bancaire adresses coordonneacuteeshellip) Dans notre cas crsquoest un
SPIT qui diffuse un message demandant aux utili-sateurs drsquoappeler un numeacutero speacutecifique pour veacuteri-fier les informations en questions et il ne reste plus qursquoagrave attendre que le teacuteleacutephone sonne Apregraves avoir reacutecupeacutereacute ces donneacutees le pirate les utilise ou les vend agrave des tiers
bull Vol dadresses eacutelectroniques ndash Lrsquousage du laquo Voi-cemail raquo se multipliant chaque utilisateur ou pres-que beacuteneacuteficie drsquoune adresse de messagerie eacutelec-tronique associeacutee cette attaque consiste agrave bom-barder le serveur de laquo voicemail raquo du domaine ToIP avec des milliers drsquoadresses mail de test (ex nomprenomclientfr nomprenomclientfr nomclientcom) Chaque adresse non valide est re-tourneacutee pour le reste lrsquoattaquant peut ainsi en deacute-duire un certain nombre drsquoadresses mail valides qursquoil pourra alors utiliser agrave sa guise pour drsquoautres at-taques (SPIT Vishing SPAM mailhellip)
bull Deacutetournement de trafic ou laquo Phreaking raquo est une meacutethode historique degraves les deacutebuts de la teacuteleacutephonie elle consiste agrave ne pas payer les communications et agrave rester anonyme En ToIP ce deacutetournement s ef-fectue apregraves reacutecupeacuteration dun couple loginpass valide ou apregraves accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone Les pionniers du laquo Phrea-king raquo (Cf figure 5) Imaginons maintenant que le pirate ait reacuteussi (par diffeacuterents moyens) agrave obtenir un login aux droits suffisants pour modifier la confi-guration de votre Ipbx Il peut alors parameacutetrer un laquo Trunck raquo agrave destination drsquoun autre IPbx et organi-ser la revente de minutes par dizaines de milliers dans un autre payshellip en utilisant le mecircme concept
Exemple de quelques outils SIPtap Wireshark VOMIT (Voice Over Misconfigured Internet Telephones) VoIPong NESUS nmap troyens divers UCSniff (ARP Saver VLAN Hopping) Digitask pour skype SIVUS Teardown Cain Backtrack Dsniff YLTI scapy SIPcrackhellip
Figure 5 accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
72010
DOSSIER
Le monde de la teacuteleacutephonie est plus que jamais en eacutevolution ces derniegraveres anneacutees En effet apregraves le passage de la teacuteleacutephonie traditionnelle vers la
VoIP (voix sur reacuteseau IP) un grand nombre drsquoacteurs plus ou moins historiques proposent maintenant des solutions apportant des services agrave valeurs ajouteacutees
Alcatel fait toujours partie des leaders du marcheacute mecircme srsquoil a perdu des parts non neacutegligeables sur ce marcheacute drsquoautres ont reacuteussi agrave exploiter davantage lrsquoIP comme Cisco Avaya Mitelhellip ou encore un autre qursquoil nrsquoest plus neacutecessaire de preacutesenter Asterisk sous toutes ses formeshellip
Il y a encore 5 ans Asterisk repreacutesentait ~02 de parts de marcheacute puis en quelques anneacutees pregraves de 4 et maintenant il atteint pregraves de 7 du marcheacute mondial en 2010 Certains opeacuterateurs utilisent mecircme un noyau Asterisk pour leurs offres Centrex et ont agrave minima valideacute lrsquoAsterisk V14 etou V16 pour leurs solutions laquo Trunk-SIP raquo Asterisk beacuteneacuteficie maintenant drsquoune reacutesonance toute particuliegravere mecircme aux yeux des grandes entre-prises
Autant dire que la communauteacute Asterisk est compara-ble aux autres communauteacutes telles que Squid MySQL Apachehellip qursquoelle se porte bien et a encore de beaux jours devant elle
Ce succegraves est principalement ducirc au caractegravere laquo Open Source raquo drsquoAsterisk et agrave une certaine maturiteacute technologi-que qui lui permet maintenant drsquoecirctre aussi fiable et per-formant que les solutions leader De plus lrsquoensemble des fonctionnaliteacutes proposeacutees srsquoeacutetoffent agrave chaque version agrave
tel point qursquoaujourdrsquohui Asterisk possegravede des fonctions qui ne sont pas aux catalogues des grands constructeurs et surtout adaptables laquo sur mesure raquo agrave votre environne-ment afin de lrsquointerfacer dans des systegravemes drsquoinforma-tions complexes La flexibiliteacute drsquoAsterisk est un atout ma-jeur face aux autres solutions packageacutees
Asterisk permet notamment en plus de tous les servi-ces dit laquo classiques raquo de mettre en place des services tels que softphone voicemail MEVO PoPC statisti-que (CDR) call center Fax-mail interface speacutecifique IVR Confeacuterence provisionning automatique SMS passerelle mobile enregistrement text-To-Speech ACD Ldap taxation CRM supervision annuaire re-connaissance du numeacutero depuis lrsquoexteacuterieur gestion de Preacutesence des files drsquoattentes messagerie instantaneacutee couplage avec Wifi et DECT IP couplage avec visio-confeacuterence le chuchotement CTI T9 annuaire unifieacute musique drsquoattentehellip
Cependant la ToIPVoIP souffre encore drsquoune mau-vaise image drsquoun point de vue seacutecuriteacutehellipEn effet les reacuteseaux voix historiquement isoleacutes fusionnent de plus en plus avec les reacuteseaux de donneacutees ils sont donc plus sensibles aux attaques drsquoun piratage Les impacts peu-vent ecirctre variables confidentialiteacute dysfonctionnements usurpations eacutecoute changements des annonces de lrsquoIPbx accegraves aux messageries vocales contournement de la politique de seacutecuriteacute DATA (backdoors) perte fi-nanciegravere etchellip alors qursquoil existe un ensemble de solu-tions qui permettent de maitriser la seacutecuriteacute de son sys-tegraveme de teacuteleacutephonie sur IP
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
Asterisk est une solution Open Source innovante qui a fait ses preuves Historiquement conccedilu par un eacutetudiant en 1999 Mark Spencer avait un recircve il souhaitait deacutemocratiser la teacuteleacutephonie sur IP et concurrencer les plus grands Aujourdrsquohui utiliseacute par des particuliers comme de grandes entreprises et posseacutedant un reacuteel potentiel drsquoeacutevolution Asterisk apporte un nouveau souffle agrave la ToIPhellip
Cet article expliquehellipbull Les fondamentaux drsquoAsterisk bull Comment exploiter les vulneacuterabiliteacutes protocolaires de la ToIPbull Les meacutethodes drsquoattaques et les outilsbull Les bonnes pratiques pour se proteacuteger
Ce qursquoil faut savoirhellipbull Notion de reacuteseau et des protocolesbull Notion de ToIP
David Hureacute
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 9
au moins eacutequivalents agrave celui des anciens systegravemes de teacuteleacutephonie traditionnels
Nous allons en deacutetailler certains drsquoentre eux en com-menccedilant par la seacutecuriteacute de lrsquoOS qui supporte votre IPBX geacuteneacuteralement sous noyau Linux il existe deux eacutecoles Il y a ceux qui optimisent inteacutegralement lrsquoOS utiliseacute tech-nique tregraves efficace et beacuteneacuteficie drsquoavantages indeacuteniables comme les performances la seacutecuriteacute optimale la sta-biliteacute accruehellip et reacutepondent agrave des besoins speacutecifiques voire industriels
Cependant cette technique neacutecessite des compeacute-tences avanceacutees En effet partir drsquoun LFS laquo Linux from scratch raquo et compiler uniquement les modules drivers et paquets neacutecessaires afin drsquooptimiser inteacutegralement le noyau nrsquoest pas donneacute agrave tous cela reste manuel long et complexe et de plus aucun suivi de version nrsquoest applicable automatiquement Il faut mettre en place sa propre gestion des deacutependanceshellip
De lrsquoautre cocircteacute il y a ceux qui souhaitent mettre en place simplement et rapidement un systegraveme de base (Debian CentOs Red Hatehellip) ou mieux utilisent des variantes comme le mode laquo Hardened raquo (HLFS) afin de renforcer nettement le niveau de seacutecuriteacute Ce mo-de integravegre nativement des meacutecanismes de seacutecuriteacute sur la pile IP de lrsquoOS limite lrsquoexeacutecution des binaires des scripts et autres attaques et nutilise que les drivers neacutecessaireshellip coupleacutes uniquement aux services acti-veacutes par lrsquoadministrateur et utiles agrave la ToIP comme par exemple le WEB DHCP NTP TFTP lrsquoAsterisk le Ma-nager Asterisk SSH relay mailhellip En reacutesumeacute la plu-part des personnes concerneacutees utilisent simplement un systegraveme de base et se dirigent vers un laquo Harde-ned raquo lorsqursquoelles sont sensibles agrave la seacutecuriteacute Le LSF est geacuteneacuteralement reacuteserveacute au laquo Geek raquo aux construc-teurs etou eacutediteurs
Dans un autre registre le parameacutetrage drsquoAsterisk joue un rocircle essentiel dans la seacutecuriteacute de la solution de teacute-
Dans certaines actualiteacutes beaucoup ont entendu par-ler des enregistrements de lrsquoaffaire laquo Bettencourt raquohellip ou encore ont lu avec stupeacutefaction que certains opeacute-rateurs eacutetrangers nrsquoheacutesitaient pas agrave pirater des entre-prises drsquoautres pays afin de mettre en place des laquo pee-ring raquo de masse leur permettant de revendre des milliers de minutes par mois pour lrsquousage de leurs clientshellip
Drsquoautre part moins preacutesente en France lrsquoarnaque aux numeacuteros surtaxeacutes et agrave lusurpation didentiteacute le pro-ceacutedeacute est simple il consiste agrave appeler une personne en modifiant le numeacutero drsquoappelant par celui de quelqursquoun drsquoautre peu drsquoopeacuterateurs controcirclent ce type drsquoexerci-ce et ce controcircle est rendu quasi impossible dans le cas drsquoune communication VoIP internethellip
Une autre arnaque porte sur la modification de la synthegravese vocale afin de se faire passer pour quelqursquoun drsquoautre par le biais drsquoun simple outil de modulation de freacutequence vocale outil de plus en plus eacutevolueacute et qui permet par exemple de transformer la voix drsquoune fem-me en celle dun homme Les IPBX entreprise actuel-lement sur le marcheacute ne sont pas eacutequipeacutes aujourdrsquohui de meacutecanisme de laquo controcircle de conformiteacute raquo de la voix mais il est possible dans le cadre drsquoaffaires judiciaires de veacuterifier si une voix a eacuteteacute ou non modifieacute dans un en-registrement
A ce sujet drsquoailleurs seuls les opeacuterateurs sont contraints par commissions rogatoires deacutelivreacutees par les services judiciaires agrave mettre en place des eacutecoutes teacuteleacutephoniques Certaines techniques laquo drsquointerception leacutegale de trafic raquo se standardisent mecircme au niveau in-ternational comme le laquo Lawful interception raquo de la Com-munications Assistance for Law Enforcement Act (CA-LEA ou ETSI)
Cependant ne soyons pas alarmiste ce type drsquoatta-que neacutecessite une expertise et chacun agrave son niveau dispose de moyens plus ou moins eacutevolueacutes de se proteacute-ger avec des niveaux de seacutecuriteacute tregraves satisfaisants ou
Figure 1 Hausse rapide des vulneacuterabiliteacutes depuis 2006 (source NVD)
0
10
20
30
40
50
60
Nombre total de vulneacuterabiliteacutes de la voix sur IP
2002 2003 2004 2005 2006 2007 2008
7201010
DOSSIER
leacutephonie sur IP En effet lrsquoAsterisk est un service fondeacute sur un ensemble de fichiers de configuration en com-menccedilant par le laquo SIPconf raquo permettant de configurer les comptes SIP utilisateurs (SDA nombre drsquoappels si-multaneacutes max Nom Preacutenomhellip) les contextes auxquels ils sont rattacheacutes les CODEC agrave utiliser la gestion des droits drsquoappelshellip crsquoest ce fichier qui par exemple vous autorise ou non agrave appeler un 06 08 lrsquointernationalhellipet liste les services de ToIP que vous pourrez utiliser (dou-ble appel conf call voicemailhellip)
De plus le fichier laquo extensionconf raquo permet drsquoeacutetablir un dial plan drsquoautres types de contextes (interneexter-ne) des macroshellip la gestion des renvois pour autori-ser ou non un renvoi vers 06 ou 08
Une partie de la seacutecuriteacute du service laquo Asterisk raquo sappuie entre autres sur le laquo managerconf raquo Ce fichier repreacutesente lrsquoadministration du noyau Asterisk (Figure 2 laquo manager Asterisk raquo) Une des bonnes pratiques consiste agrave creacuteer uniquement un compte laquo super Administrateur raquo et agrave bien parameacutetrer le ni-veau de droit des utilisateurs lambda (users) et des autres administrateurs deacuteleacutegueacutes (Originate) Voici la synthegravese des eacuteleacutements parameacutetrables via le laquo mana-ger raquo
Nb Il est entre autres recommandeacute drsquoutiliser le SSH et drsquoactiver le mode de connexion SSL agrave lrsquointerface WEB du manager ou simplement de la deacutesactiver
LrsquoAsterisk sappuie aussi sur drsquoautres fichiers de configuration comme le laquo CDRconf raquo pour la ges-tion et le parameacutetrage des logs du call flowhelliple fichier laquo CDRmanagerconf raquo le laquo H323conf raquo laquo iaxconf raquo laquo queuesconf raquo etchellip
Geacuteneacuteralement et de plus en plus les utilisateurs comme les administrateurs sont friands drsquoutiliser une interface WEB (surcouche drsquoadministration) pour le parameacutetrage et lrsquoadministration de lrsquoAsterisk et de ses services Elle doit beacuteneacuteficier de diffeacuterents niveaux de seacutecuriteacute A minima trois niveaux par exemple laquo Root raquo laquo Admin raquo laquo utilisateur raquo qui permet drsquoauto-riser ou pas certaines modifications (ex modification
adresse mail SDA plan de SDA renvoi supervision) sans passer directement par les fichiers de configura-tion drsquoAsterisk
Il est aussi important de seacutelectionner le bon laquo dri-ver TAPI raquo pour les postes de travail et le click to dial par exemple afin de ne pas ecirctre obligeacute drsquooctroyer des droits suppleacutementaires sur le manager agrave un utilisateur lorsqursquoil tente drsquoutiliser cette fonction (De plus si quel-qursquoun eacutecoute les flux ou utilise un sniffer il a de grandes chances de reacutecupeacuterer le mot de passe administrateur du managerhellipil est donc preacutefeacuterable drsquoutiliser le mode laquo originate raquo)
Drsquoautre part le mode drsquoauthentification des teacuteleacutepho-nes IP reste somme toute assez basique puisque cer-tains flux sont en clairs et puisque le challenge est reacutealiseacute avec un hash simple en MD5 et pas de chiffre-menthellip Ce qui renforce lrsquoimportance de la politique de mot de passe
Pour finir les nouvelles releases en test beacuteneacuteficient deacutejagrave de certaines reacuteponses (V162) et drsquoavanceacutees en matiegravere de seacutecuriteacute comme le support TLS pour le SRTP le renforcement de certains meacutecanismes de seacute-curiteacute ou encore le support du T140 pour les messages texte le support du SS7 dans DAHDI lrsquoameacutelioration des CDR de la gestion du Dial Plan du laquo MeetMe raquo des files drsquoattente des nouvelles fonctions SIP et bien drsquoautreshellip
Les problegravemes protocolairesLa ToIP est maintenant une partie inteacutegrante des reacute-seaux LAN (voir la rubrique sites web) elle est donc soumise agrave un ensemble de probleacutematiques purement reacuteseau dont voici quelques exemples quelques soit les constructeurshellip
bull Le Deacuteni de service (DoS) sur VoIP qui consiste agrave lancer une multitude de requecirctes laquo flooding SIP raquo laquo TCP syn raquo ou laquo UDP raquo (par exemple deman-des drsquoenregistrement et dappelshellip) jusquagrave satura-tion des services VoIP Ces types dattaques ciblent souvent les serveurs les passerelles les proxy ou encore les teacuteleacutephones IP qui voient leurs res-sources sont rapidement eacutepuiseacutees par ces requecirc-tes dont lrsquoobjectif est de perturber voire mettre hors service le systegraveme cibleacute Une autre attaque eacutegale-ment reacutepandue consiste agrave envoyer des commandes laquo BYE raquo au teacuteleacutephone afin de mettre fin agrave la conver-sation en courshellip
bull La manipulation du contenu multimeacutedia et des si-gnaux est une attaque qui permet drsquoinjecter un fi-chier son dans un flux RTP par le biais drsquoune atta-que laquo RTP Insertsound raquo
bull Attaque par laquo relecture raquo ou laquo Deacutetournement den-registrement raquo de sessions autoriseacutees obtenues gracircce agrave une analyse de trame par un laquo sniffer raquo sur le reacuteseau ou par interception de trafic Cette atta-Figure 2 laquo manager Asterisk raquo
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 11
que se deacuteroule au niveau du protocole SIP elle uti-lise la commande laquo Register raquo qui sert agrave localiser un utilisateur par rapport agrave son adresse IP Le pi-rate peut alors rejouer ces sessions de laquo regis-ter raquo valide en modifiant uniquement lrsquoadresse IP de destination en sa faveurhellipCette attaque est due au fait que le protocole SIP transite une partie des informations en clair il est donc possible de met-tre en place du SIPS qui integravegre des meacutecanismes drsquoauthentification et assure lrsquointeacutegriteacute des donneacutees
bull Le laquo Man in the Middle raquo (figure 3 exemple drsquoeacutechange protocolaire) (MITM) est une des atta-ques les plus connues elle permet agrave lrsquoassaillant de se positionner entre le client et le serveur afin drsquoin-tercepter les flux cibleacutes qui sont eacutechangeacutes Le pi-rate usurpe alors lrsquoadresse MAC (spoof MAC) de ces 2 parties par lrsquoempoisonnement du cache ARP des switches (ex Ettercap + plugin laquo chk_poiso-ning raquo) afin drsquoecirctre transparent dans ces eacutechanges Les donneacutees transitent alors au travers du systegraveme pirate Dans le cas de la ToIP cette technique est utiliseacutee pour laquo lrsquoEavesdropping raquo (laquo Oreille indiscregrave-
te raquo) lui permettant ainsi drsquoeacutecouter et drsquoenregistrer les conversations entre les interlocuteurs mais aus-si de reacutecupeacuterer un ensemble drsquoinformations confi-dentielles cette technique est aussi utiliseacutee pour drsquoautres protocoles (SSL DNS SSHhellip)
bull Le laquo switch jamming raquo (figure 4 ARP spoofing at-taques) est une attaque qui consiste agrave saturer le plus rapidement possible les tables de commu-tation drsquoun commutateur avec des milliers de pa-quets contenant de fausses adresses MAC (floo-ding MAC) dans le but de le transformer en laquo mode reacutepeacuteteur raquo (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports Nb cette attaque ne fonctionne pas avec tous les commutateurs et elle est geacuteneacuteralement peu discregrave-tehellip
bull La deacuteviation par un paquet ICMP consiste agrave utiliser un geacuteneacuterateur de paquet du type laquo frameipexe raquo (disponible sur internet) et agrave forger ses propres pa-quets ICMP de deacuteviation (type 5) agrave destination du client afin de lui indiquer que la route utiliseacutee nrsquoest pas optimale et lui communiquer par la mecircme occa-
Figure 3 exemple drsquoeacutechange protocolaire
Client Attacker Server
Alice Proxy 1 Proxy 2 Bob
INVITE
Trying
Ringing
OK
INVITE
Trying
Ringing
OK
INViTE
Ringing
OK
AC K
Communication multimeacutedia
BYE
OK
7201012
DOSSIER
sion la nouvelle route qui permettra de rediriger les flux vers un hocircte pirate qui ferait office de passe-relle Lrsquoobjectif de cette attaque est multiple eacutecou-te enregistrement (comme pour MITM) DoShellip Il est important de noter que cette attaque ne per-met pas de rediriger le trafic dune connexion entre deux machines du mecircme reacuteseau local (mecircme plan adresse IP) puisque le trafic eacutechangeacute ne passe pas par une passerelle
bull laquo VLAN Hopping raquo consiste agrave deacutecouvrir le Ndeg de VLAN attribueacute agrave la ToIP (en reacutecupeacuterant la VLAN Database utilisation drsquoun sniferhellip) dans un envi-ronnement LAN et de marquer des trames Ether-net directement dans ce VLAN en forgeant ses pro-pres trames Cette technique permet de srsquoaffranchir drsquoune partie de la seacutecuriteacute associeacutee aux VLANshellip(label spoofing)
bull Dans certains cas un simple laquo brute force raquo sur le serveur TFTP laquo officiel raquo permet de teacuteleacutecharger la configuration complegravete drsquoun eacutequipement et drsquoap-prendre un certain nombre drsquoeacuteleacutementshellip
bull En SIP les eacutequipements beacuteneacuteficient drsquoune reacuteelle in-telligence embarqueacutee contrairement aux MGCP par exemplehellip il est donc possible de demander agrave un teacute-leacutephone laquo drsquoafficher raquo lors drsquoun appel agrave son destinatai-re un numeacutero de teacuteleacutephone diffeacuterent du sien En inter-ne cela nrsquoa que peu drsquoeffet Pourtant une personne pourrait preacutetendre appeler depuis le centre de seacutecuri-teacute ou le bureau du directeurhellip et demander lrsquoexeacutecution drsquoactions particuliegraveres par exemple De lrsquoexteacuterieur ecirctre discret se faire passer pour quelqursquoun autre ou en-core afficher systeacutematiquement pour tous les appels sortants un numeacutero tiers pirate (modification sur pas-serelle ou IPbx) Lorsque les destinataires tenteront de recontacter leurs collegravegues etou partenaires en faisant laquo BIS raquo ou rappeler dans lrsquohistorique des ap-pels ils tomberont systeacutematiquement sur le numeacutero (payant) qui eacutetait afficheacute (ex 14euro par appel)
Ports geacuteneacuteralement utiliseacutes en ToIPTFTP UDP 69MGCP UDP 2427LDAP TCP 389Backhaul (MGCP) UDP 2428TapiJtapi TCP 2748http TCP 808080SSL TCP 443SCCP TCP 3224Skinny TCP 2000-2002SNMP UDP 161SNMP Trap UDP 162DNS UDP 53SIP TCP 5060SIPTLS TCP 5061H323 RAS TCP 1719H323 H225 TCP 1720H323 H245 TCP 11000-11999H323 Gatekeeper Discovery UDP 1718RTP 16384-32767NTP UDP 123
Ensuite au niveau des applications
bull Apregraves avoir ameacutelioreacute la seacutecuriteacute sur vos reacuteseaux et vos protocoles il reste neacuteanmoins drsquoautres points noirs comme les interfaces graphiques des IPbx lrsquousage du mode HTTPS nrsquoest pas forceacute voire non activeacute
bull De plus au niveau des stations de travail lrsquoauthen-tification aux pages drsquoadministrations de lrsquoIPbx etou des interfaces utilisateurs peut ecirctre coupleacutee agrave des cookies ou du NTLM qui ne sont pas forcement un gage de seacutecuriteacute et encore moins quand lrsquoutilisa-teur demande agrave son navigateur de garder les mots de passe en meacutemoirehellip
bull Drsquoautre part il existe un nombre de failles etou de vulneacuterabiliteacutes non neacutegligeable directement sur
Figure 4 ARP spoofing attaques
Utilisateur 1 Utilisateur 2
ltlt Spoof MacAddress gtgt
ltlt Spoof MacAddress gtgt
Attaquantltlt Man in
the Middle gtgt
ltlt SwitchJamming gtgt
Ethernet Switch
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 13
les interfaces des IPbx exeacutecution forceacutee de script comme le laquo cross site scripting raquo ou autres la falsi-fication des requecirctes inter-sites injections de don-neacuteeshellip
bull Plus simplement par deacutefaut les eacutequipements ToIP beacuteneacuteficient de services standard activeacutes (ex tel-net ouvert port SNMP et readwrite avec commu-nity name par deacutefaut interface Web de configura-tion de lrsquoeacutequipement permettant la modification de la configuration en http reacutecupeacuteration drsquoinformations directes statistiques reboot agrave distance port de troubleshooting authentification basique Services echo et time ouvertshellip) Toutes ces inattentions sur les eacutequipements facilitent souvent les actions dune personne mal intentionneacuteehellip
Quelques techniques utiliseacutees par les piratesGeacuteneacuteralement un simple laquo Snifer raquo sur votre LAN per-mettra agrave un pirate de reacutecupeacuterer une multitude drsquoinforma-tions telles que les protocoles utiliseacutes sur votre reacuteseau (CDP STP DNS DHCP LDAP MAPIhellip) et drsquoobtenir des renseignements sur votre plan adressage IP vos VLANs codecs utiliseacutes utilisateurs login mot de pas-se deacutecouverte de vos infrastructures de la topologie la marque des eacutequipements les IOS vos serveurs leurs OS et versions version des applicationshellip
bull Le ldquofuzzingrdquo est une meacutethode permettant de tester les logiciels et de mettre en eacutevidence des dysfonc-tionnements potentiels afin de constater la reacuteaction du systegraveme lorsquil reccediloit de fausses informations Cette meacutethode utilise un certain nombre drsquooutils de seacutecuriteacute utiliseacutes notamment lors drsquoaudits mais cer-taines personnes mal intentionneacutees srsquoen servent dans le but de trouver et exploiter des failles (comp-te administrateur augmentation des deacutelais DOS eacutecoutehellip)
bull Spam VoIP ou SPIT (Spam Over Internet Tele-phony) - le SPIT est comme son nom lrsquoindique un SPAM dont lobjectif est la diffusion dun mes-sage publicitaire en initiant etou relayant un maxi-mum drsquoappels agrave lrsquoaide de laquo Bots raquo agrave destination de millions dutilisateurs VoIP depuis le systegraveme com-promis Cette technique a de multiples conseacutequen-ces comme la saturation du systegraveme des MEVO des communications simultaneacuteeshellip Une utilisation deacutetourneacutee du SPIT consiste aussi agrave initier un maxi-mum drsquoappels agrave destination de Ndeg surtaxeacutes dans le but drsquoenrichir des organisations malveillanteshellip
bull Vishing (Voice Phishing) ndash Cette technique est comparable au laquo phishing raquo traditionnel dans le but drsquoinciter des utilisateurs agrave divulguer des don-neacutees confidentielles voire sensibles (par exemple noms dutilisateur mots de passe et ou numeacuteros de compte Ndeg de seacutecuriteacute sociale code bancaire adresses coordonneacuteeshellip) Dans notre cas crsquoest un
SPIT qui diffuse un message demandant aux utili-sateurs drsquoappeler un numeacutero speacutecifique pour veacuteri-fier les informations en questions et il ne reste plus qursquoagrave attendre que le teacuteleacutephone sonne Apregraves avoir reacutecupeacutereacute ces donneacutees le pirate les utilise ou les vend agrave des tiers
bull Vol dadresses eacutelectroniques ndash Lrsquousage du laquo Voi-cemail raquo se multipliant chaque utilisateur ou pres-que beacuteneacuteficie drsquoune adresse de messagerie eacutelec-tronique associeacutee cette attaque consiste agrave bom-barder le serveur de laquo voicemail raquo du domaine ToIP avec des milliers drsquoadresses mail de test (ex nomprenomclientfr nomprenomclientfr nomclientcom) Chaque adresse non valide est re-tourneacutee pour le reste lrsquoattaquant peut ainsi en deacute-duire un certain nombre drsquoadresses mail valides qursquoil pourra alors utiliser agrave sa guise pour drsquoautres at-taques (SPIT Vishing SPAM mailhellip)
bull Deacutetournement de trafic ou laquo Phreaking raquo est une meacutethode historique degraves les deacutebuts de la teacuteleacutephonie elle consiste agrave ne pas payer les communications et agrave rester anonyme En ToIP ce deacutetournement s ef-fectue apregraves reacutecupeacuteration dun couple loginpass valide ou apregraves accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone Les pionniers du laquo Phrea-king raquo (Cf figure 5) Imaginons maintenant que le pirate ait reacuteussi (par diffeacuterents moyens) agrave obtenir un login aux droits suffisants pour modifier la confi-guration de votre Ipbx Il peut alors parameacutetrer un laquo Trunck raquo agrave destination drsquoun autre IPbx et organi-ser la revente de minutes par dizaines de milliers dans un autre payshellip en utilisant le mecircme concept
Exemple de quelques outils SIPtap Wireshark VOMIT (Voice Over Misconfigured Internet Telephones) VoIPong NESUS nmap troyens divers UCSniff (ARP Saver VLAN Hopping) Digitask pour skype SIVUS Teardown Cain Backtrack Dsniff YLTI scapy SIPcrackhellip
Figure 5 accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 9
au moins eacutequivalents agrave celui des anciens systegravemes de teacuteleacutephonie traditionnels
Nous allons en deacutetailler certains drsquoentre eux en com-menccedilant par la seacutecuriteacute de lrsquoOS qui supporte votre IPBX geacuteneacuteralement sous noyau Linux il existe deux eacutecoles Il y a ceux qui optimisent inteacutegralement lrsquoOS utiliseacute tech-nique tregraves efficace et beacuteneacuteficie drsquoavantages indeacuteniables comme les performances la seacutecuriteacute optimale la sta-biliteacute accruehellip et reacutepondent agrave des besoins speacutecifiques voire industriels
Cependant cette technique neacutecessite des compeacute-tences avanceacutees En effet partir drsquoun LFS laquo Linux from scratch raquo et compiler uniquement les modules drivers et paquets neacutecessaires afin drsquooptimiser inteacutegralement le noyau nrsquoest pas donneacute agrave tous cela reste manuel long et complexe et de plus aucun suivi de version nrsquoest applicable automatiquement Il faut mettre en place sa propre gestion des deacutependanceshellip
De lrsquoautre cocircteacute il y a ceux qui souhaitent mettre en place simplement et rapidement un systegraveme de base (Debian CentOs Red Hatehellip) ou mieux utilisent des variantes comme le mode laquo Hardened raquo (HLFS) afin de renforcer nettement le niveau de seacutecuriteacute Ce mo-de integravegre nativement des meacutecanismes de seacutecuriteacute sur la pile IP de lrsquoOS limite lrsquoexeacutecution des binaires des scripts et autres attaques et nutilise que les drivers neacutecessaireshellip coupleacutes uniquement aux services acti-veacutes par lrsquoadministrateur et utiles agrave la ToIP comme par exemple le WEB DHCP NTP TFTP lrsquoAsterisk le Ma-nager Asterisk SSH relay mailhellip En reacutesumeacute la plu-part des personnes concerneacutees utilisent simplement un systegraveme de base et se dirigent vers un laquo Harde-ned raquo lorsqursquoelles sont sensibles agrave la seacutecuriteacute Le LSF est geacuteneacuteralement reacuteserveacute au laquo Geek raquo aux construc-teurs etou eacutediteurs
Dans un autre registre le parameacutetrage drsquoAsterisk joue un rocircle essentiel dans la seacutecuriteacute de la solution de teacute-
Dans certaines actualiteacutes beaucoup ont entendu par-ler des enregistrements de lrsquoaffaire laquo Bettencourt raquohellip ou encore ont lu avec stupeacutefaction que certains opeacute-rateurs eacutetrangers nrsquoheacutesitaient pas agrave pirater des entre-prises drsquoautres pays afin de mettre en place des laquo pee-ring raquo de masse leur permettant de revendre des milliers de minutes par mois pour lrsquousage de leurs clientshellip
Drsquoautre part moins preacutesente en France lrsquoarnaque aux numeacuteros surtaxeacutes et agrave lusurpation didentiteacute le pro-ceacutedeacute est simple il consiste agrave appeler une personne en modifiant le numeacutero drsquoappelant par celui de quelqursquoun drsquoautre peu drsquoopeacuterateurs controcirclent ce type drsquoexerci-ce et ce controcircle est rendu quasi impossible dans le cas drsquoune communication VoIP internethellip
Une autre arnaque porte sur la modification de la synthegravese vocale afin de se faire passer pour quelqursquoun drsquoautre par le biais drsquoun simple outil de modulation de freacutequence vocale outil de plus en plus eacutevolueacute et qui permet par exemple de transformer la voix drsquoune fem-me en celle dun homme Les IPBX entreprise actuel-lement sur le marcheacute ne sont pas eacutequipeacutes aujourdrsquohui de meacutecanisme de laquo controcircle de conformiteacute raquo de la voix mais il est possible dans le cadre drsquoaffaires judiciaires de veacuterifier si une voix a eacuteteacute ou non modifieacute dans un en-registrement
A ce sujet drsquoailleurs seuls les opeacuterateurs sont contraints par commissions rogatoires deacutelivreacutees par les services judiciaires agrave mettre en place des eacutecoutes teacuteleacutephoniques Certaines techniques laquo drsquointerception leacutegale de trafic raquo se standardisent mecircme au niveau in-ternational comme le laquo Lawful interception raquo de la Com-munications Assistance for Law Enforcement Act (CA-LEA ou ETSI)
Cependant ne soyons pas alarmiste ce type drsquoatta-que neacutecessite une expertise et chacun agrave son niveau dispose de moyens plus ou moins eacutevolueacutes de se proteacute-ger avec des niveaux de seacutecuriteacute tregraves satisfaisants ou
Figure 1 Hausse rapide des vulneacuterabiliteacutes depuis 2006 (source NVD)
0
10
20
30
40
50
60
Nombre total de vulneacuterabiliteacutes de la voix sur IP
2002 2003 2004 2005 2006 2007 2008
7201010
DOSSIER
leacutephonie sur IP En effet lrsquoAsterisk est un service fondeacute sur un ensemble de fichiers de configuration en com-menccedilant par le laquo SIPconf raquo permettant de configurer les comptes SIP utilisateurs (SDA nombre drsquoappels si-multaneacutes max Nom Preacutenomhellip) les contextes auxquels ils sont rattacheacutes les CODEC agrave utiliser la gestion des droits drsquoappelshellip crsquoest ce fichier qui par exemple vous autorise ou non agrave appeler un 06 08 lrsquointernationalhellipet liste les services de ToIP que vous pourrez utiliser (dou-ble appel conf call voicemailhellip)
De plus le fichier laquo extensionconf raquo permet drsquoeacutetablir un dial plan drsquoautres types de contextes (interneexter-ne) des macroshellip la gestion des renvois pour autori-ser ou non un renvoi vers 06 ou 08
Une partie de la seacutecuriteacute du service laquo Asterisk raquo sappuie entre autres sur le laquo managerconf raquo Ce fichier repreacutesente lrsquoadministration du noyau Asterisk (Figure 2 laquo manager Asterisk raquo) Une des bonnes pratiques consiste agrave creacuteer uniquement un compte laquo super Administrateur raquo et agrave bien parameacutetrer le ni-veau de droit des utilisateurs lambda (users) et des autres administrateurs deacuteleacutegueacutes (Originate) Voici la synthegravese des eacuteleacutements parameacutetrables via le laquo mana-ger raquo
Nb Il est entre autres recommandeacute drsquoutiliser le SSH et drsquoactiver le mode de connexion SSL agrave lrsquointerface WEB du manager ou simplement de la deacutesactiver
LrsquoAsterisk sappuie aussi sur drsquoautres fichiers de configuration comme le laquo CDRconf raquo pour la ges-tion et le parameacutetrage des logs du call flowhelliple fichier laquo CDRmanagerconf raquo le laquo H323conf raquo laquo iaxconf raquo laquo queuesconf raquo etchellip
Geacuteneacuteralement et de plus en plus les utilisateurs comme les administrateurs sont friands drsquoutiliser une interface WEB (surcouche drsquoadministration) pour le parameacutetrage et lrsquoadministration de lrsquoAsterisk et de ses services Elle doit beacuteneacuteficier de diffeacuterents niveaux de seacutecuriteacute A minima trois niveaux par exemple laquo Root raquo laquo Admin raquo laquo utilisateur raquo qui permet drsquoauto-riser ou pas certaines modifications (ex modification
adresse mail SDA plan de SDA renvoi supervision) sans passer directement par les fichiers de configura-tion drsquoAsterisk
Il est aussi important de seacutelectionner le bon laquo dri-ver TAPI raquo pour les postes de travail et le click to dial par exemple afin de ne pas ecirctre obligeacute drsquooctroyer des droits suppleacutementaires sur le manager agrave un utilisateur lorsqursquoil tente drsquoutiliser cette fonction (De plus si quel-qursquoun eacutecoute les flux ou utilise un sniffer il a de grandes chances de reacutecupeacuterer le mot de passe administrateur du managerhellipil est donc preacutefeacuterable drsquoutiliser le mode laquo originate raquo)
Drsquoautre part le mode drsquoauthentification des teacuteleacutepho-nes IP reste somme toute assez basique puisque cer-tains flux sont en clairs et puisque le challenge est reacutealiseacute avec un hash simple en MD5 et pas de chiffre-menthellip Ce qui renforce lrsquoimportance de la politique de mot de passe
Pour finir les nouvelles releases en test beacuteneacuteficient deacutejagrave de certaines reacuteponses (V162) et drsquoavanceacutees en matiegravere de seacutecuriteacute comme le support TLS pour le SRTP le renforcement de certains meacutecanismes de seacute-curiteacute ou encore le support du T140 pour les messages texte le support du SS7 dans DAHDI lrsquoameacutelioration des CDR de la gestion du Dial Plan du laquo MeetMe raquo des files drsquoattente des nouvelles fonctions SIP et bien drsquoautreshellip
Les problegravemes protocolairesLa ToIP est maintenant une partie inteacutegrante des reacute-seaux LAN (voir la rubrique sites web) elle est donc soumise agrave un ensemble de probleacutematiques purement reacuteseau dont voici quelques exemples quelques soit les constructeurshellip
bull Le Deacuteni de service (DoS) sur VoIP qui consiste agrave lancer une multitude de requecirctes laquo flooding SIP raquo laquo TCP syn raquo ou laquo UDP raquo (par exemple deman-des drsquoenregistrement et dappelshellip) jusquagrave satura-tion des services VoIP Ces types dattaques ciblent souvent les serveurs les passerelles les proxy ou encore les teacuteleacutephones IP qui voient leurs res-sources sont rapidement eacutepuiseacutees par ces requecirc-tes dont lrsquoobjectif est de perturber voire mettre hors service le systegraveme cibleacute Une autre attaque eacutegale-ment reacutepandue consiste agrave envoyer des commandes laquo BYE raquo au teacuteleacutephone afin de mettre fin agrave la conver-sation en courshellip
bull La manipulation du contenu multimeacutedia et des si-gnaux est une attaque qui permet drsquoinjecter un fi-chier son dans un flux RTP par le biais drsquoune atta-que laquo RTP Insertsound raquo
bull Attaque par laquo relecture raquo ou laquo Deacutetournement den-registrement raquo de sessions autoriseacutees obtenues gracircce agrave une analyse de trame par un laquo sniffer raquo sur le reacuteseau ou par interception de trafic Cette atta-Figure 2 laquo manager Asterisk raquo
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 11
que se deacuteroule au niveau du protocole SIP elle uti-lise la commande laquo Register raquo qui sert agrave localiser un utilisateur par rapport agrave son adresse IP Le pi-rate peut alors rejouer ces sessions de laquo regis-ter raquo valide en modifiant uniquement lrsquoadresse IP de destination en sa faveurhellipCette attaque est due au fait que le protocole SIP transite une partie des informations en clair il est donc possible de met-tre en place du SIPS qui integravegre des meacutecanismes drsquoauthentification et assure lrsquointeacutegriteacute des donneacutees
bull Le laquo Man in the Middle raquo (figure 3 exemple drsquoeacutechange protocolaire) (MITM) est une des atta-ques les plus connues elle permet agrave lrsquoassaillant de se positionner entre le client et le serveur afin drsquoin-tercepter les flux cibleacutes qui sont eacutechangeacutes Le pi-rate usurpe alors lrsquoadresse MAC (spoof MAC) de ces 2 parties par lrsquoempoisonnement du cache ARP des switches (ex Ettercap + plugin laquo chk_poiso-ning raquo) afin drsquoecirctre transparent dans ces eacutechanges Les donneacutees transitent alors au travers du systegraveme pirate Dans le cas de la ToIP cette technique est utiliseacutee pour laquo lrsquoEavesdropping raquo (laquo Oreille indiscregrave-
te raquo) lui permettant ainsi drsquoeacutecouter et drsquoenregistrer les conversations entre les interlocuteurs mais aus-si de reacutecupeacuterer un ensemble drsquoinformations confi-dentielles cette technique est aussi utiliseacutee pour drsquoautres protocoles (SSL DNS SSHhellip)
bull Le laquo switch jamming raquo (figure 4 ARP spoofing at-taques) est une attaque qui consiste agrave saturer le plus rapidement possible les tables de commu-tation drsquoun commutateur avec des milliers de pa-quets contenant de fausses adresses MAC (floo-ding MAC) dans le but de le transformer en laquo mode reacutepeacuteteur raquo (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports Nb cette attaque ne fonctionne pas avec tous les commutateurs et elle est geacuteneacuteralement peu discregrave-tehellip
bull La deacuteviation par un paquet ICMP consiste agrave utiliser un geacuteneacuterateur de paquet du type laquo frameipexe raquo (disponible sur internet) et agrave forger ses propres pa-quets ICMP de deacuteviation (type 5) agrave destination du client afin de lui indiquer que la route utiliseacutee nrsquoest pas optimale et lui communiquer par la mecircme occa-
Figure 3 exemple drsquoeacutechange protocolaire
Client Attacker Server
Alice Proxy 1 Proxy 2 Bob
INVITE
Trying
Ringing
OK
INVITE
Trying
Ringing
OK
INViTE
Ringing
OK
AC K
Communication multimeacutedia
BYE
OK
7201012
DOSSIER
sion la nouvelle route qui permettra de rediriger les flux vers un hocircte pirate qui ferait office de passe-relle Lrsquoobjectif de cette attaque est multiple eacutecou-te enregistrement (comme pour MITM) DoShellip Il est important de noter que cette attaque ne per-met pas de rediriger le trafic dune connexion entre deux machines du mecircme reacuteseau local (mecircme plan adresse IP) puisque le trafic eacutechangeacute ne passe pas par une passerelle
bull laquo VLAN Hopping raquo consiste agrave deacutecouvrir le Ndeg de VLAN attribueacute agrave la ToIP (en reacutecupeacuterant la VLAN Database utilisation drsquoun sniferhellip) dans un envi-ronnement LAN et de marquer des trames Ether-net directement dans ce VLAN en forgeant ses pro-pres trames Cette technique permet de srsquoaffranchir drsquoune partie de la seacutecuriteacute associeacutee aux VLANshellip(label spoofing)
bull Dans certains cas un simple laquo brute force raquo sur le serveur TFTP laquo officiel raquo permet de teacuteleacutecharger la configuration complegravete drsquoun eacutequipement et drsquoap-prendre un certain nombre drsquoeacuteleacutementshellip
bull En SIP les eacutequipements beacuteneacuteficient drsquoune reacuteelle in-telligence embarqueacutee contrairement aux MGCP par exemplehellip il est donc possible de demander agrave un teacute-leacutephone laquo drsquoafficher raquo lors drsquoun appel agrave son destinatai-re un numeacutero de teacuteleacutephone diffeacuterent du sien En inter-ne cela nrsquoa que peu drsquoeffet Pourtant une personne pourrait preacutetendre appeler depuis le centre de seacutecuri-teacute ou le bureau du directeurhellip et demander lrsquoexeacutecution drsquoactions particuliegraveres par exemple De lrsquoexteacuterieur ecirctre discret se faire passer pour quelqursquoun autre ou en-core afficher systeacutematiquement pour tous les appels sortants un numeacutero tiers pirate (modification sur pas-serelle ou IPbx) Lorsque les destinataires tenteront de recontacter leurs collegravegues etou partenaires en faisant laquo BIS raquo ou rappeler dans lrsquohistorique des ap-pels ils tomberont systeacutematiquement sur le numeacutero (payant) qui eacutetait afficheacute (ex 14euro par appel)
Ports geacuteneacuteralement utiliseacutes en ToIPTFTP UDP 69MGCP UDP 2427LDAP TCP 389Backhaul (MGCP) UDP 2428TapiJtapi TCP 2748http TCP 808080SSL TCP 443SCCP TCP 3224Skinny TCP 2000-2002SNMP UDP 161SNMP Trap UDP 162DNS UDP 53SIP TCP 5060SIPTLS TCP 5061H323 RAS TCP 1719H323 H225 TCP 1720H323 H245 TCP 11000-11999H323 Gatekeeper Discovery UDP 1718RTP 16384-32767NTP UDP 123
Ensuite au niveau des applications
bull Apregraves avoir ameacutelioreacute la seacutecuriteacute sur vos reacuteseaux et vos protocoles il reste neacuteanmoins drsquoautres points noirs comme les interfaces graphiques des IPbx lrsquousage du mode HTTPS nrsquoest pas forceacute voire non activeacute
bull De plus au niveau des stations de travail lrsquoauthen-tification aux pages drsquoadministrations de lrsquoIPbx etou des interfaces utilisateurs peut ecirctre coupleacutee agrave des cookies ou du NTLM qui ne sont pas forcement un gage de seacutecuriteacute et encore moins quand lrsquoutilisa-teur demande agrave son navigateur de garder les mots de passe en meacutemoirehellip
bull Drsquoautre part il existe un nombre de failles etou de vulneacuterabiliteacutes non neacutegligeable directement sur
Figure 4 ARP spoofing attaques
Utilisateur 1 Utilisateur 2
ltlt Spoof MacAddress gtgt
ltlt Spoof MacAddress gtgt
Attaquantltlt Man in
the Middle gtgt
ltlt SwitchJamming gtgt
Ethernet Switch
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 13
les interfaces des IPbx exeacutecution forceacutee de script comme le laquo cross site scripting raquo ou autres la falsi-fication des requecirctes inter-sites injections de don-neacuteeshellip
bull Plus simplement par deacutefaut les eacutequipements ToIP beacuteneacuteficient de services standard activeacutes (ex tel-net ouvert port SNMP et readwrite avec commu-nity name par deacutefaut interface Web de configura-tion de lrsquoeacutequipement permettant la modification de la configuration en http reacutecupeacuteration drsquoinformations directes statistiques reboot agrave distance port de troubleshooting authentification basique Services echo et time ouvertshellip) Toutes ces inattentions sur les eacutequipements facilitent souvent les actions dune personne mal intentionneacuteehellip
Quelques techniques utiliseacutees par les piratesGeacuteneacuteralement un simple laquo Snifer raquo sur votre LAN per-mettra agrave un pirate de reacutecupeacuterer une multitude drsquoinforma-tions telles que les protocoles utiliseacutes sur votre reacuteseau (CDP STP DNS DHCP LDAP MAPIhellip) et drsquoobtenir des renseignements sur votre plan adressage IP vos VLANs codecs utiliseacutes utilisateurs login mot de pas-se deacutecouverte de vos infrastructures de la topologie la marque des eacutequipements les IOS vos serveurs leurs OS et versions version des applicationshellip
bull Le ldquofuzzingrdquo est une meacutethode permettant de tester les logiciels et de mettre en eacutevidence des dysfonc-tionnements potentiels afin de constater la reacuteaction du systegraveme lorsquil reccediloit de fausses informations Cette meacutethode utilise un certain nombre drsquooutils de seacutecuriteacute utiliseacutes notamment lors drsquoaudits mais cer-taines personnes mal intentionneacutees srsquoen servent dans le but de trouver et exploiter des failles (comp-te administrateur augmentation des deacutelais DOS eacutecoutehellip)
bull Spam VoIP ou SPIT (Spam Over Internet Tele-phony) - le SPIT est comme son nom lrsquoindique un SPAM dont lobjectif est la diffusion dun mes-sage publicitaire en initiant etou relayant un maxi-mum drsquoappels agrave lrsquoaide de laquo Bots raquo agrave destination de millions dutilisateurs VoIP depuis le systegraveme com-promis Cette technique a de multiples conseacutequen-ces comme la saturation du systegraveme des MEVO des communications simultaneacuteeshellip Une utilisation deacutetourneacutee du SPIT consiste aussi agrave initier un maxi-mum drsquoappels agrave destination de Ndeg surtaxeacutes dans le but drsquoenrichir des organisations malveillanteshellip
bull Vishing (Voice Phishing) ndash Cette technique est comparable au laquo phishing raquo traditionnel dans le but drsquoinciter des utilisateurs agrave divulguer des don-neacutees confidentielles voire sensibles (par exemple noms dutilisateur mots de passe et ou numeacuteros de compte Ndeg de seacutecuriteacute sociale code bancaire adresses coordonneacuteeshellip) Dans notre cas crsquoest un
SPIT qui diffuse un message demandant aux utili-sateurs drsquoappeler un numeacutero speacutecifique pour veacuteri-fier les informations en questions et il ne reste plus qursquoagrave attendre que le teacuteleacutephone sonne Apregraves avoir reacutecupeacutereacute ces donneacutees le pirate les utilise ou les vend agrave des tiers
bull Vol dadresses eacutelectroniques ndash Lrsquousage du laquo Voi-cemail raquo se multipliant chaque utilisateur ou pres-que beacuteneacuteficie drsquoune adresse de messagerie eacutelec-tronique associeacutee cette attaque consiste agrave bom-barder le serveur de laquo voicemail raquo du domaine ToIP avec des milliers drsquoadresses mail de test (ex nomprenomclientfr nomprenomclientfr nomclientcom) Chaque adresse non valide est re-tourneacutee pour le reste lrsquoattaquant peut ainsi en deacute-duire un certain nombre drsquoadresses mail valides qursquoil pourra alors utiliser agrave sa guise pour drsquoautres at-taques (SPIT Vishing SPAM mailhellip)
bull Deacutetournement de trafic ou laquo Phreaking raquo est une meacutethode historique degraves les deacutebuts de la teacuteleacutephonie elle consiste agrave ne pas payer les communications et agrave rester anonyme En ToIP ce deacutetournement s ef-fectue apregraves reacutecupeacuteration dun couple loginpass valide ou apregraves accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone Les pionniers du laquo Phrea-king raquo (Cf figure 5) Imaginons maintenant que le pirate ait reacuteussi (par diffeacuterents moyens) agrave obtenir un login aux droits suffisants pour modifier la confi-guration de votre Ipbx Il peut alors parameacutetrer un laquo Trunck raquo agrave destination drsquoun autre IPbx et organi-ser la revente de minutes par dizaines de milliers dans un autre payshellip en utilisant le mecircme concept
Exemple de quelques outils SIPtap Wireshark VOMIT (Voice Over Misconfigured Internet Telephones) VoIPong NESUS nmap troyens divers UCSniff (ARP Saver VLAN Hopping) Digitask pour skype SIVUS Teardown Cain Backtrack Dsniff YLTI scapy SIPcrackhellip
Figure 5 accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201010
DOSSIER
leacutephonie sur IP En effet lrsquoAsterisk est un service fondeacute sur un ensemble de fichiers de configuration en com-menccedilant par le laquo SIPconf raquo permettant de configurer les comptes SIP utilisateurs (SDA nombre drsquoappels si-multaneacutes max Nom Preacutenomhellip) les contextes auxquels ils sont rattacheacutes les CODEC agrave utiliser la gestion des droits drsquoappelshellip crsquoest ce fichier qui par exemple vous autorise ou non agrave appeler un 06 08 lrsquointernationalhellipet liste les services de ToIP que vous pourrez utiliser (dou-ble appel conf call voicemailhellip)
De plus le fichier laquo extensionconf raquo permet drsquoeacutetablir un dial plan drsquoautres types de contextes (interneexter-ne) des macroshellip la gestion des renvois pour autori-ser ou non un renvoi vers 06 ou 08
Une partie de la seacutecuriteacute du service laquo Asterisk raquo sappuie entre autres sur le laquo managerconf raquo Ce fichier repreacutesente lrsquoadministration du noyau Asterisk (Figure 2 laquo manager Asterisk raquo) Une des bonnes pratiques consiste agrave creacuteer uniquement un compte laquo super Administrateur raquo et agrave bien parameacutetrer le ni-veau de droit des utilisateurs lambda (users) et des autres administrateurs deacuteleacutegueacutes (Originate) Voici la synthegravese des eacuteleacutements parameacutetrables via le laquo mana-ger raquo
Nb Il est entre autres recommandeacute drsquoutiliser le SSH et drsquoactiver le mode de connexion SSL agrave lrsquointerface WEB du manager ou simplement de la deacutesactiver
LrsquoAsterisk sappuie aussi sur drsquoautres fichiers de configuration comme le laquo CDRconf raquo pour la ges-tion et le parameacutetrage des logs du call flowhelliple fichier laquo CDRmanagerconf raquo le laquo H323conf raquo laquo iaxconf raquo laquo queuesconf raquo etchellip
Geacuteneacuteralement et de plus en plus les utilisateurs comme les administrateurs sont friands drsquoutiliser une interface WEB (surcouche drsquoadministration) pour le parameacutetrage et lrsquoadministration de lrsquoAsterisk et de ses services Elle doit beacuteneacuteficier de diffeacuterents niveaux de seacutecuriteacute A minima trois niveaux par exemple laquo Root raquo laquo Admin raquo laquo utilisateur raquo qui permet drsquoauto-riser ou pas certaines modifications (ex modification
adresse mail SDA plan de SDA renvoi supervision) sans passer directement par les fichiers de configura-tion drsquoAsterisk
Il est aussi important de seacutelectionner le bon laquo dri-ver TAPI raquo pour les postes de travail et le click to dial par exemple afin de ne pas ecirctre obligeacute drsquooctroyer des droits suppleacutementaires sur le manager agrave un utilisateur lorsqursquoil tente drsquoutiliser cette fonction (De plus si quel-qursquoun eacutecoute les flux ou utilise un sniffer il a de grandes chances de reacutecupeacuterer le mot de passe administrateur du managerhellipil est donc preacutefeacuterable drsquoutiliser le mode laquo originate raquo)
Drsquoautre part le mode drsquoauthentification des teacuteleacutepho-nes IP reste somme toute assez basique puisque cer-tains flux sont en clairs et puisque le challenge est reacutealiseacute avec un hash simple en MD5 et pas de chiffre-menthellip Ce qui renforce lrsquoimportance de la politique de mot de passe
Pour finir les nouvelles releases en test beacuteneacuteficient deacutejagrave de certaines reacuteponses (V162) et drsquoavanceacutees en matiegravere de seacutecuriteacute comme le support TLS pour le SRTP le renforcement de certains meacutecanismes de seacute-curiteacute ou encore le support du T140 pour les messages texte le support du SS7 dans DAHDI lrsquoameacutelioration des CDR de la gestion du Dial Plan du laquo MeetMe raquo des files drsquoattente des nouvelles fonctions SIP et bien drsquoautreshellip
Les problegravemes protocolairesLa ToIP est maintenant une partie inteacutegrante des reacute-seaux LAN (voir la rubrique sites web) elle est donc soumise agrave un ensemble de probleacutematiques purement reacuteseau dont voici quelques exemples quelques soit les constructeurshellip
bull Le Deacuteni de service (DoS) sur VoIP qui consiste agrave lancer une multitude de requecirctes laquo flooding SIP raquo laquo TCP syn raquo ou laquo UDP raquo (par exemple deman-des drsquoenregistrement et dappelshellip) jusquagrave satura-tion des services VoIP Ces types dattaques ciblent souvent les serveurs les passerelles les proxy ou encore les teacuteleacutephones IP qui voient leurs res-sources sont rapidement eacutepuiseacutees par ces requecirc-tes dont lrsquoobjectif est de perturber voire mettre hors service le systegraveme cibleacute Une autre attaque eacutegale-ment reacutepandue consiste agrave envoyer des commandes laquo BYE raquo au teacuteleacutephone afin de mettre fin agrave la conver-sation en courshellip
bull La manipulation du contenu multimeacutedia et des si-gnaux est une attaque qui permet drsquoinjecter un fi-chier son dans un flux RTP par le biais drsquoune atta-que laquo RTP Insertsound raquo
bull Attaque par laquo relecture raquo ou laquo Deacutetournement den-registrement raquo de sessions autoriseacutees obtenues gracircce agrave une analyse de trame par un laquo sniffer raquo sur le reacuteseau ou par interception de trafic Cette atta-Figure 2 laquo manager Asterisk raquo
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 11
que se deacuteroule au niveau du protocole SIP elle uti-lise la commande laquo Register raquo qui sert agrave localiser un utilisateur par rapport agrave son adresse IP Le pi-rate peut alors rejouer ces sessions de laquo regis-ter raquo valide en modifiant uniquement lrsquoadresse IP de destination en sa faveurhellipCette attaque est due au fait que le protocole SIP transite une partie des informations en clair il est donc possible de met-tre en place du SIPS qui integravegre des meacutecanismes drsquoauthentification et assure lrsquointeacutegriteacute des donneacutees
bull Le laquo Man in the Middle raquo (figure 3 exemple drsquoeacutechange protocolaire) (MITM) est une des atta-ques les plus connues elle permet agrave lrsquoassaillant de se positionner entre le client et le serveur afin drsquoin-tercepter les flux cibleacutes qui sont eacutechangeacutes Le pi-rate usurpe alors lrsquoadresse MAC (spoof MAC) de ces 2 parties par lrsquoempoisonnement du cache ARP des switches (ex Ettercap + plugin laquo chk_poiso-ning raquo) afin drsquoecirctre transparent dans ces eacutechanges Les donneacutees transitent alors au travers du systegraveme pirate Dans le cas de la ToIP cette technique est utiliseacutee pour laquo lrsquoEavesdropping raquo (laquo Oreille indiscregrave-
te raquo) lui permettant ainsi drsquoeacutecouter et drsquoenregistrer les conversations entre les interlocuteurs mais aus-si de reacutecupeacuterer un ensemble drsquoinformations confi-dentielles cette technique est aussi utiliseacutee pour drsquoautres protocoles (SSL DNS SSHhellip)
bull Le laquo switch jamming raquo (figure 4 ARP spoofing at-taques) est une attaque qui consiste agrave saturer le plus rapidement possible les tables de commu-tation drsquoun commutateur avec des milliers de pa-quets contenant de fausses adresses MAC (floo-ding MAC) dans le but de le transformer en laquo mode reacutepeacuteteur raquo (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports Nb cette attaque ne fonctionne pas avec tous les commutateurs et elle est geacuteneacuteralement peu discregrave-tehellip
bull La deacuteviation par un paquet ICMP consiste agrave utiliser un geacuteneacuterateur de paquet du type laquo frameipexe raquo (disponible sur internet) et agrave forger ses propres pa-quets ICMP de deacuteviation (type 5) agrave destination du client afin de lui indiquer que la route utiliseacutee nrsquoest pas optimale et lui communiquer par la mecircme occa-
Figure 3 exemple drsquoeacutechange protocolaire
Client Attacker Server
Alice Proxy 1 Proxy 2 Bob
INVITE
Trying
Ringing
OK
INVITE
Trying
Ringing
OK
INViTE
Ringing
OK
AC K
Communication multimeacutedia
BYE
OK
7201012
DOSSIER
sion la nouvelle route qui permettra de rediriger les flux vers un hocircte pirate qui ferait office de passe-relle Lrsquoobjectif de cette attaque est multiple eacutecou-te enregistrement (comme pour MITM) DoShellip Il est important de noter que cette attaque ne per-met pas de rediriger le trafic dune connexion entre deux machines du mecircme reacuteseau local (mecircme plan adresse IP) puisque le trafic eacutechangeacute ne passe pas par une passerelle
bull laquo VLAN Hopping raquo consiste agrave deacutecouvrir le Ndeg de VLAN attribueacute agrave la ToIP (en reacutecupeacuterant la VLAN Database utilisation drsquoun sniferhellip) dans un envi-ronnement LAN et de marquer des trames Ether-net directement dans ce VLAN en forgeant ses pro-pres trames Cette technique permet de srsquoaffranchir drsquoune partie de la seacutecuriteacute associeacutee aux VLANshellip(label spoofing)
bull Dans certains cas un simple laquo brute force raquo sur le serveur TFTP laquo officiel raquo permet de teacuteleacutecharger la configuration complegravete drsquoun eacutequipement et drsquoap-prendre un certain nombre drsquoeacuteleacutementshellip
bull En SIP les eacutequipements beacuteneacuteficient drsquoune reacuteelle in-telligence embarqueacutee contrairement aux MGCP par exemplehellip il est donc possible de demander agrave un teacute-leacutephone laquo drsquoafficher raquo lors drsquoun appel agrave son destinatai-re un numeacutero de teacuteleacutephone diffeacuterent du sien En inter-ne cela nrsquoa que peu drsquoeffet Pourtant une personne pourrait preacutetendre appeler depuis le centre de seacutecuri-teacute ou le bureau du directeurhellip et demander lrsquoexeacutecution drsquoactions particuliegraveres par exemple De lrsquoexteacuterieur ecirctre discret se faire passer pour quelqursquoun autre ou en-core afficher systeacutematiquement pour tous les appels sortants un numeacutero tiers pirate (modification sur pas-serelle ou IPbx) Lorsque les destinataires tenteront de recontacter leurs collegravegues etou partenaires en faisant laquo BIS raquo ou rappeler dans lrsquohistorique des ap-pels ils tomberont systeacutematiquement sur le numeacutero (payant) qui eacutetait afficheacute (ex 14euro par appel)
Ports geacuteneacuteralement utiliseacutes en ToIPTFTP UDP 69MGCP UDP 2427LDAP TCP 389Backhaul (MGCP) UDP 2428TapiJtapi TCP 2748http TCP 808080SSL TCP 443SCCP TCP 3224Skinny TCP 2000-2002SNMP UDP 161SNMP Trap UDP 162DNS UDP 53SIP TCP 5060SIPTLS TCP 5061H323 RAS TCP 1719H323 H225 TCP 1720H323 H245 TCP 11000-11999H323 Gatekeeper Discovery UDP 1718RTP 16384-32767NTP UDP 123
Ensuite au niveau des applications
bull Apregraves avoir ameacutelioreacute la seacutecuriteacute sur vos reacuteseaux et vos protocoles il reste neacuteanmoins drsquoautres points noirs comme les interfaces graphiques des IPbx lrsquousage du mode HTTPS nrsquoest pas forceacute voire non activeacute
bull De plus au niveau des stations de travail lrsquoauthen-tification aux pages drsquoadministrations de lrsquoIPbx etou des interfaces utilisateurs peut ecirctre coupleacutee agrave des cookies ou du NTLM qui ne sont pas forcement un gage de seacutecuriteacute et encore moins quand lrsquoutilisa-teur demande agrave son navigateur de garder les mots de passe en meacutemoirehellip
bull Drsquoautre part il existe un nombre de failles etou de vulneacuterabiliteacutes non neacutegligeable directement sur
Figure 4 ARP spoofing attaques
Utilisateur 1 Utilisateur 2
ltlt Spoof MacAddress gtgt
ltlt Spoof MacAddress gtgt
Attaquantltlt Man in
the Middle gtgt
ltlt SwitchJamming gtgt
Ethernet Switch
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 13
les interfaces des IPbx exeacutecution forceacutee de script comme le laquo cross site scripting raquo ou autres la falsi-fication des requecirctes inter-sites injections de don-neacuteeshellip
bull Plus simplement par deacutefaut les eacutequipements ToIP beacuteneacuteficient de services standard activeacutes (ex tel-net ouvert port SNMP et readwrite avec commu-nity name par deacutefaut interface Web de configura-tion de lrsquoeacutequipement permettant la modification de la configuration en http reacutecupeacuteration drsquoinformations directes statistiques reboot agrave distance port de troubleshooting authentification basique Services echo et time ouvertshellip) Toutes ces inattentions sur les eacutequipements facilitent souvent les actions dune personne mal intentionneacuteehellip
Quelques techniques utiliseacutees par les piratesGeacuteneacuteralement un simple laquo Snifer raquo sur votre LAN per-mettra agrave un pirate de reacutecupeacuterer une multitude drsquoinforma-tions telles que les protocoles utiliseacutes sur votre reacuteseau (CDP STP DNS DHCP LDAP MAPIhellip) et drsquoobtenir des renseignements sur votre plan adressage IP vos VLANs codecs utiliseacutes utilisateurs login mot de pas-se deacutecouverte de vos infrastructures de la topologie la marque des eacutequipements les IOS vos serveurs leurs OS et versions version des applicationshellip
bull Le ldquofuzzingrdquo est une meacutethode permettant de tester les logiciels et de mettre en eacutevidence des dysfonc-tionnements potentiels afin de constater la reacuteaction du systegraveme lorsquil reccediloit de fausses informations Cette meacutethode utilise un certain nombre drsquooutils de seacutecuriteacute utiliseacutes notamment lors drsquoaudits mais cer-taines personnes mal intentionneacutees srsquoen servent dans le but de trouver et exploiter des failles (comp-te administrateur augmentation des deacutelais DOS eacutecoutehellip)
bull Spam VoIP ou SPIT (Spam Over Internet Tele-phony) - le SPIT est comme son nom lrsquoindique un SPAM dont lobjectif est la diffusion dun mes-sage publicitaire en initiant etou relayant un maxi-mum drsquoappels agrave lrsquoaide de laquo Bots raquo agrave destination de millions dutilisateurs VoIP depuis le systegraveme com-promis Cette technique a de multiples conseacutequen-ces comme la saturation du systegraveme des MEVO des communications simultaneacuteeshellip Une utilisation deacutetourneacutee du SPIT consiste aussi agrave initier un maxi-mum drsquoappels agrave destination de Ndeg surtaxeacutes dans le but drsquoenrichir des organisations malveillanteshellip
bull Vishing (Voice Phishing) ndash Cette technique est comparable au laquo phishing raquo traditionnel dans le but drsquoinciter des utilisateurs agrave divulguer des don-neacutees confidentielles voire sensibles (par exemple noms dutilisateur mots de passe et ou numeacuteros de compte Ndeg de seacutecuriteacute sociale code bancaire adresses coordonneacuteeshellip) Dans notre cas crsquoest un
SPIT qui diffuse un message demandant aux utili-sateurs drsquoappeler un numeacutero speacutecifique pour veacuteri-fier les informations en questions et il ne reste plus qursquoagrave attendre que le teacuteleacutephone sonne Apregraves avoir reacutecupeacutereacute ces donneacutees le pirate les utilise ou les vend agrave des tiers
bull Vol dadresses eacutelectroniques ndash Lrsquousage du laquo Voi-cemail raquo se multipliant chaque utilisateur ou pres-que beacuteneacuteficie drsquoune adresse de messagerie eacutelec-tronique associeacutee cette attaque consiste agrave bom-barder le serveur de laquo voicemail raquo du domaine ToIP avec des milliers drsquoadresses mail de test (ex nomprenomclientfr nomprenomclientfr nomclientcom) Chaque adresse non valide est re-tourneacutee pour le reste lrsquoattaquant peut ainsi en deacute-duire un certain nombre drsquoadresses mail valides qursquoil pourra alors utiliser agrave sa guise pour drsquoautres at-taques (SPIT Vishing SPAM mailhellip)
bull Deacutetournement de trafic ou laquo Phreaking raquo est une meacutethode historique degraves les deacutebuts de la teacuteleacutephonie elle consiste agrave ne pas payer les communications et agrave rester anonyme En ToIP ce deacutetournement s ef-fectue apregraves reacutecupeacuteration dun couple loginpass valide ou apregraves accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone Les pionniers du laquo Phrea-king raquo (Cf figure 5) Imaginons maintenant que le pirate ait reacuteussi (par diffeacuterents moyens) agrave obtenir un login aux droits suffisants pour modifier la confi-guration de votre Ipbx Il peut alors parameacutetrer un laquo Trunck raquo agrave destination drsquoun autre IPbx et organi-ser la revente de minutes par dizaines de milliers dans un autre payshellip en utilisant le mecircme concept
Exemple de quelques outils SIPtap Wireshark VOMIT (Voice Over Misconfigured Internet Telephones) VoIPong NESUS nmap troyens divers UCSniff (ARP Saver VLAN Hopping) Digitask pour skype SIVUS Teardown Cain Backtrack Dsniff YLTI scapy SIPcrackhellip
Figure 5 accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 11
que se deacuteroule au niveau du protocole SIP elle uti-lise la commande laquo Register raquo qui sert agrave localiser un utilisateur par rapport agrave son adresse IP Le pi-rate peut alors rejouer ces sessions de laquo regis-ter raquo valide en modifiant uniquement lrsquoadresse IP de destination en sa faveurhellipCette attaque est due au fait que le protocole SIP transite une partie des informations en clair il est donc possible de met-tre en place du SIPS qui integravegre des meacutecanismes drsquoauthentification et assure lrsquointeacutegriteacute des donneacutees
bull Le laquo Man in the Middle raquo (figure 3 exemple drsquoeacutechange protocolaire) (MITM) est une des atta-ques les plus connues elle permet agrave lrsquoassaillant de se positionner entre le client et le serveur afin drsquoin-tercepter les flux cibleacutes qui sont eacutechangeacutes Le pi-rate usurpe alors lrsquoadresse MAC (spoof MAC) de ces 2 parties par lrsquoempoisonnement du cache ARP des switches (ex Ettercap + plugin laquo chk_poiso-ning raquo) afin drsquoecirctre transparent dans ces eacutechanges Les donneacutees transitent alors au travers du systegraveme pirate Dans le cas de la ToIP cette technique est utiliseacutee pour laquo lrsquoEavesdropping raquo (laquo Oreille indiscregrave-
te raquo) lui permettant ainsi drsquoeacutecouter et drsquoenregistrer les conversations entre les interlocuteurs mais aus-si de reacutecupeacuterer un ensemble drsquoinformations confi-dentielles cette technique est aussi utiliseacutee pour drsquoautres protocoles (SSL DNS SSHhellip)
bull Le laquo switch jamming raquo (figure 4 ARP spoofing at-taques) est une attaque qui consiste agrave saturer le plus rapidement possible les tables de commu-tation drsquoun commutateur avec des milliers de pa-quets contenant de fausses adresses MAC (floo-ding MAC) dans le but de le transformer en laquo mode reacutepeacuteteur raquo (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports Nb cette attaque ne fonctionne pas avec tous les commutateurs et elle est geacuteneacuteralement peu discregrave-tehellip
bull La deacuteviation par un paquet ICMP consiste agrave utiliser un geacuteneacuterateur de paquet du type laquo frameipexe raquo (disponible sur internet) et agrave forger ses propres pa-quets ICMP de deacuteviation (type 5) agrave destination du client afin de lui indiquer que la route utiliseacutee nrsquoest pas optimale et lui communiquer par la mecircme occa-
Figure 3 exemple drsquoeacutechange protocolaire
Client Attacker Server
Alice Proxy 1 Proxy 2 Bob
INVITE
Trying
Ringing
OK
INVITE
Trying
Ringing
OK
INViTE
Ringing
OK
AC K
Communication multimeacutedia
BYE
OK
7201012
DOSSIER
sion la nouvelle route qui permettra de rediriger les flux vers un hocircte pirate qui ferait office de passe-relle Lrsquoobjectif de cette attaque est multiple eacutecou-te enregistrement (comme pour MITM) DoShellip Il est important de noter que cette attaque ne per-met pas de rediriger le trafic dune connexion entre deux machines du mecircme reacuteseau local (mecircme plan adresse IP) puisque le trafic eacutechangeacute ne passe pas par une passerelle
bull laquo VLAN Hopping raquo consiste agrave deacutecouvrir le Ndeg de VLAN attribueacute agrave la ToIP (en reacutecupeacuterant la VLAN Database utilisation drsquoun sniferhellip) dans un envi-ronnement LAN et de marquer des trames Ether-net directement dans ce VLAN en forgeant ses pro-pres trames Cette technique permet de srsquoaffranchir drsquoune partie de la seacutecuriteacute associeacutee aux VLANshellip(label spoofing)
bull Dans certains cas un simple laquo brute force raquo sur le serveur TFTP laquo officiel raquo permet de teacuteleacutecharger la configuration complegravete drsquoun eacutequipement et drsquoap-prendre un certain nombre drsquoeacuteleacutementshellip
bull En SIP les eacutequipements beacuteneacuteficient drsquoune reacuteelle in-telligence embarqueacutee contrairement aux MGCP par exemplehellip il est donc possible de demander agrave un teacute-leacutephone laquo drsquoafficher raquo lors drsquoun appel agrave son destinatai-re un numeacutero de teacuteleacutephone diffeacuterent du sien En inter-ne cela nrsquoa que peu drsquoeffet Pourtant une personne pourrait preacutetendre appeler depuis le centre de seacutecuri-teacute ou le bureau du directeurhellip et demander lrsquoexeacutecution drsquoactions particuliegraveres par exemple De lrsquoexteacuterieur ecirctre discret se faire passer pour quelqursquoun autre ou en-core afficher systeacutematiquement pour tous les appels sortants un numeacutero tiers pirate (modification sur pas-serelle ou IPbx) Lorsque les destinataires tenteront de recontacter leurs collegravegues etou partenaires en faisant laquo BIS raquo ou rappeler dans lrsquohistorique des ap-pels ils tomberont systeacutematiquement sur le numeacutero (payant) qui eacutetait afficheacute (ex 14euro par appel)
Ports geacuteneacuteralement utiliseacutes en ToIPTFTP UDP 69MGCP UDP 2427LDAP TCP 389Backhaul (MGCP) UDP 2428TapiJtapi TCP 2748http TCP 808080SSL TCP 443SCCP TCP 3224Skinny TCP 2000-2002SNMP UDP 161SNMP Trap UDP 162DNS UDP 53SIP TCP 5060SIPTLS TCP 5061H323 RAS TCP 1719H323 H225 TCP 1720H323 H245 TCP 11000-11999H323 Gatekeeper Discovery UDP 1718RTP 16384-32767NTP UDP 123
Ensuite au niveau des applications
bull Apregraves avoir ameacutelioreacute la seacutecuriteacute sur vos reacuteseaux et vos protocoles il reste neacuteanmoins drsquoautres points noirs comme les interfaces graphiques des IPbx lrsquousage du mode HTTPS nrsquoest pas forceacute voire non activeacute
bull De plus au niveau des stations de travail lrsquoauthen-tification aux pages drsquoadministrations de lrsquoIPbx etou des interfaces utilisateurs peut ecirctre coupleacutee agrave des cookies ou du NTLM qui ne sont pas forcement un gage de seacutecuriteacute et encore moins quand lrsquoutilisa-teur demande agrave son navigateur de garder les mots de passe en meacutemoirehellip
bull Drsquoautre part il existe un nombre de failles etou de vulneacuterabiliteacutes non neacutegligeable directement sur
Figure 4 ARP spoofing attaques
Utilisateur 1 Utilisateur 2
ltlt Spoof MacAddress gtgt
ltlt Spoof MacAddress gtgt
Attaquantltlt Man in
the Middle gtgt
ltlt SwitchJamming gtgt
Ethernet Switch
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 13
les interfaces des IPbx exeacutecution forceacutee de script comme le laquo cross site scripting raquo ou autres la falsi-fication des requecirctes inter-sites injections de don-neacuteeshellip
bull Plus simplement par deacutefaut les eacutequipements ToIP beacuteneacuteficient de services standard activeacutes (ex tel-net ouvert port SNMP et readwrite avec commu-nity name par deacutefaut interface Web de configura-tion de lrsquoeacutequipement permettant la modification de la configuration en http reacutecupeacuteration drsquoinformations directes statistiques reboot agrave distance port de troubleshooting authentification basique Services echo et time ouvertshellip) Toutes ces inattentions sur les eacutequipements facilitent souvent les actions dune personne mal intentionneacuteehellip
Quelques techniques utiliseacutees par les piratesGeacuteneacuteralement un simple laquo Snifer raquo sur votre LAN per-mettra agrave un pirate de reacutecupeacuterer une multitude drsquoinforma-tions telles que les protocoles utiliseacutes sur votre reacuteseau (CDP STP DNS DHCP LDAP MAPIhellip) et drsquoobtenir des renseignements sur votre plan adressage IP vos VLANs codecs utiliseacutes utilisateurs login mot de pas-se deacutecouverte de vos infrastructures de la topologie la marque des eacutequipements les IOS vos serveurs leurs OS et versions version des applicationshellip
bull Le ldquofuzzingrdquo est une meacutethode permettant de tester les logiciels et de mettre en eacutevidence des dysfonc-tionnements potentiels afin de constater la reacuteaction du systegraveme lorsquil reccediloit de fausses informations Cette meacutethode utilise un certain nombre drsquooutils de seacutecuriteacute utiliseacutes notamment lors drsquoaudits mais cer-taines personnes mal intentionneacutees srsquoen servent dans le but de trouver et exploiter des failles (comp-te administrateur augmentation des deacutelais DOS eacutecoutehellip)
bull Spam VoIP ou SPIT (Spam Over Internet Tele-phony) - le SPIT est comme son nom lrsquoindique un SPAM dont lobjectif est la diffusion dun mes-sage publicitaire en initiant etou relayant un maxi-mum drsquoappels agrave lrsquoaide de laquo Bots raquo agrave destination de millions dutilisateurs VoIP depuis le systegraveme com-promis Cette technique a de multiples conseacutequen-ces comme la saturation du systegraveme des MEVO des communications simultaneacuteeshellip Une utilisation deacutetourneacutee du SPIT consiste aussi agrave initier un maxi-mum drsquoappels agrave destination de Ndeg surtaxeacutes dans le but drsquoenrichir des organisations malveillanteshellip
bull Vishing (Voice Phishing) ndash Cette technique est comparable au laquo phishing raquo traditionnel dans le but drsquoinciter des utilisateurs agrave divulguer des don-neacutees confidentielles voire sensibles (par exemple noms dutilisateur mots de passe et ou numeacuteros de compte Ndeg de seacutecuriteacute sociale code bancaire adresses coordonneacuteeshellip) Dans notre cas crsquoest un
SPIT qui diffuse un message demandant aux utili-sateurs drsquoappeler un numeacutero speacutecifique pour veacuteri-fier les informations en questions et il ne reste plus qursquoagrave attendre que le teacuteleacutephone sonne Apregraves avoir reacutecupeacutereacute ces donneacutees le pirate les utilise ou les vend agrave des tiers
bull Vol dadresses eacutelectroniques ndash Lrsquousage du laquo Voi-cemail raquo se multipliant chaque utilisateur ou pres-que beacuteneacuteficie drsquoune adresse de messagerie eacutelec-tronique associeacutee cette attaque consiste agrave bom-barder le serveur de laquo voicemail raquo du domaine ToIP avec des milliers drsquoadresses mail de test (ex nomprenomclientfr nomprenomclientfr nomclientcom) Chaque adresse non valide est re-tourneacutee pour le reste lrsquoattaquant peut ainsi en deacute-duire un certain nombre drsquoadresses mail valides qursquoil pourra alors utiliser agrave sa guise pour drsquoautres at-taques (SPIT Vishing SPAM mailhellip)
bull Deacutetournement de trafic ou laquo Phreaking raquo est une meacutethode historique degraves les deacutebuts de la teacuteleacutephonie elle consiste agrave ne pas payer les communications et agrave rester anonyme En ToIP ce deacutetournement s ef-fectue apregraves reacutecupeacuteration dun couple loginpass valide ou apregraves accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone Les pionniers du laquo Phrea-king raquo (Cf figure 5) Imaginons maintenant que le pirate ait reacuteussi (par diffeacuterents moyens) agrave obtenir un login aux droits suffisants pour modifier la confi-guration de votre Ipbx Il peut alors parameacutetrer un laquo Trunck raquo agrave destination drsquoun autre IPbx et organi-ser la revente de minutes par dizaines de milliers dans un autre payshellip en utilisant le mecircme concept
Exemple de quelques outils SIPtap Wireshark VOMIT (Voice Over Misconfigured Internet Telephones) VoIPong NESUS nmap troyens divers UCSniff (ARP Saver VLAN Hopping) Digitask pour skype SIVUS Teardown Cain Backtrack Dsniff YLTI scapy SIPcrackhellip
Figure 5 accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201012
DOSSIER
sion la nouvelle route qui permettra de rediriger les flux vers un hocircte pirate qui ferait office de passe-relle Lrsquoobjectif de cette attaque est multiple eacutecou-te enregistrement (comme pour MITM) DoShellip Il est important de noter que cette attaque ne per-met pas de rediriger le trafic dune connexion entre deux machines du mecircme reacuteseau local (mecircme plan adresse IP) puisque le trafic eacutechangeacute ne passe pas par une passerelle
bull laquo VLAN Hopping raquo consiste agrave deacutecouvrir le Ndeg de VLAN attribueacute agrave la ToIP (en reacutecupeacuterant la VLAN Database utilisation drsquoun sniferhellip) dans un envi-ronnement LAN et de marquer des trames Ether-net directement dans ce VLAN en forgeant ses pro-pres trames Cette technique permet de srsquoaffranchir drsquoune partie de la seacutecuriteacute associeacutee aux VLANshellip(label spoofing)
bull Dans certains cas un simple laquo brute force raquo sur le serveur TFTP laquo officiel raquo permet de teacuteleacutecharger la configuration complegravete drsquoun eacutequipement et drsquoap-prendre un certain nombre drsquoeacuteleacutementshellip
bull En SIP les eacutequipements beacuteneacuteficient drsquoune reacuteelle in-telligence embarqueacutee contrairement aux MGCP par exemplehellip il est donc possible de demander agrave un teacute-leacutephone laquo drsquoafficher raquo lors drsquoun appel agrave son destinatai-re un numeacutero de teacuteleacutephone diffeacuterent du sien En inter-ne cela nrsquoa que peu drsquoeffet Pourtant une personne pourrait preacutetendre appeler depuis le centre de seacutecuri-teacute ou le bureau du directeurhellip et demander lrsquoexeacutecution drsquoactions particuliegraveres par exemple De lrsquoexteacuterieur ecirctre discret se faire passer pour quelqursquoun autre ou en-core afficher systeacutematiquement pour tous les appels sortants un numeacutero tiers pirate (modification sur pas-serelle ou IPbx) Lorsque les destinataires tenteront de recontacter leurs collegravegues etou partenaires en faisant laquo BIS raquo ou rappeler dans lrsquohistorique des ap-pels ils tomberont systeacutematiquement sur le numeacutero (payant) qui eacutetait afficheacute (ex 14euro par appel)
Ports geacuteneacuteralement utiliseacutes en ToIPTFTP UDP 69MGCP UDP 2427LDAP TCP 389Backhaul (MGCP) UDP 2428TapiJtapi TCP 2748http TCP 808080SSL TCP 443SCCP TCP 3224Skinny TCP 2000-2002SNMP UDP 161SNMP Trap UDP 162DNS UDP 53SIP TCP 5060SIPTLS TCP 5061H323 RAS TCP 1719H323 H225 TCP 1720H323 H245 TCP 11000-11999H323 Gatekeeper Discovery UDP 1718RTP 16384-32767NTP UDP 123
Ensuite au niveau des applications
bull Apregraves avoir ameacutelioreacute la seacutecuriteacute sur vos reacuteseaux et vos protocoles il reste neacuteanmoins drsquoautres points noirs comme les interfaces graphiques des IPbx lrsquousage du mode HTTPS nrsquoest pas forceacute voire non activeacute
bull De plus au niveau des stations de travail lrsquoauthen-tification aux pages drsquoadministrations de lrsquoIPbx etou des interfaces utilisateurs peut ecirctre coupleacutee agrave des cookies ou du NTLM qui ne sont pas forcement un gage de seacutecuriteacute et encore moins quand lrsquoutilisa-teur demande agrave son navigateur de garder les mots de passe en meacutemoirehellip
bull Drsquoautre part il existe un nombre de failles etou de vulneacuterabiliteacutes non neacutegligeable directement sur
Figure 4 ARP spoofing attaques
Utilisateur 1 Utilisateur 2
ltlt Spoof MacAddress gtgt
ltlt Spoof MacAddress gtgt
Attaquantltlt Man in
the Middle gtgt
ltlt SwitchJamming gtgt
Ethernet Switch
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 13
les interfaces des IPbx exeacutecution forceacutee de script comme le laquo cross site scripting raquo ou autres la falsi-fication des requecirctes inter-sites injections de don-neacuteeshellip
bull Plus simplement par deacutefaut les eacutequipements ToIP beacuteneacuteficient de services standard activeacutes (ex tel-net ouvert port SNMP et readwrite avec commu-nity name par deacutefaut interface Web de configura-tion de lrsquoeacutequipement permettant la modification de la configuration en http reacutecupeacuteration drsquoinformations directes statistiques reboot agrave distance port de troubleshooting authentification basique Services echo et time ouvertshellip) Toutes ces inattentions sur les eacutequipements facilitent souvent les actions dune personne mal intentionneacuteehellip
Quelques techniques utiliseacutees par les piratesGeacuteneacuteralement un simple laquo Snifer raquo sur votre LAN per-mettra agrave un pirate de reacutecupeacuterer une multitude drsquoinforma-tions telles que les protocoles utiliseacutes sur votre reacuteseau (CDP STP DNS DHCP LDAP MAPIhellip) et drsquoobtenir des renseignements sur votre plan adressage IP vos VLANs codecs utiliseacutes utilisateurs login mot de pas-se deacutecouverte de vos infrastructures de la topologie la marque des eacutequipements les IOS vos serveurs leurs OS et versions version des applicationshellip
bull Le ldquofuzzingrdquo est une meacutethode permettant de tester les logiciels et de mettre en eacutevidence des dysfonc-tionnements potentiels afin de constater la reacuteaction du systegraveme lorsquil reccediloit de fausses informations Cette meacutethode utilise un certain nombre drsquooutils de seacutecuriteacute utiliseacutes notamment lors drsquoaudits mais cer-taines personnes mal intentionneacutees srsquoen servent dans le but de trouver et exploiter des failles (comp-te administrateur augmentation des deacutelais DOS eacutecoutehellip)
bull Spam VoIP ou SPIT (Spam Over Internet Tele-phony) - le SPIT est comme son nom lrsquoindique un SPAM dont lobjectif est la diffusion dun mes-sage publicitaire en initiant etou relayant un maxi-mum drsquoappels agrave lrsquoaide de laquo Bots raquo agrave destination de millions dutilisateurs VoIP depuis le systegraveme com-promis Cette technique a de multiples conseacutequen-ces comme la saturation du systegraveme des MEVO des communications simultaneacuteeshellip Une utilisation deacutetourneacutee du SPIT consiste aussi agrave initier un maxi-mum drsquoappels agrave destination de Ndeg surtaxeacutes dans le but drsquoenrichir des organisations malveillanteshellip
bull Vishing (Voice Phishing) ndash Cette technique est comparable au laquo phishing raquo traditionnel dans le but drsquoinciter des utilisateurs agrave divulguer des don-neacutees confidentielles voire sensibles (par exemple noms dutilisateur mots de passe et ou numeacuteros de compte Ndeg de seacutecuriteacute sociale code bancaire adresses coordonneacuteeshellip) Dans notre cas crsquoest un
SPIT qui diffuse un message demandant aux utili-sateurs drsquoappeler un numeacutero speacutecifique pour veacuteri-fier les informations en questions et il ne reste plus qursquoagrave attendre que le teacuteleacutephone sonne Apregraves avoir reacutecupeacutereacute ces donneacutees le pirate les utilise ou les vend agrave des tiers
bull Vol dadresses eacutelectroniques ndash Lrsquousage du laquo Voi-cemail raquo se multipliant chaque utilisateur ou pres-que beacuteneacuteficie drsquoune adresse de messagerie eacutelec-tronique associeacutee cette attaque consiste agrave bom-barder le serveur de laquo voicemail raquo du domaine ToIP avec des milliers drsquoadresses mail de test (ex nomprenomclientfr nomprenomclientfr nomclientcom) Chaque adresse non valide est re-tourneacutee pour le reste lrsquoattaquant peut ainsi en deacute-duire un certain nombre drsquoadresses mail valides qursquoil pourra alors utiliser agrave sa guise pour drsquoautres at-taques (SPIT Vishing SPAM mailhellip)
bull Deacutetournement de trafic ou laquo Phreaking raquo est une meacutethode historique degraves les deacutebuts de la teacuteleacutephonie elle consiste agrave ne pas payer les communications et agrave rester anonyme En ToIP ce deacutetournement s ef-fectue apregraves reacutecupeacuteration dun couple loginpass valide ou apregraves accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone Les pionniers du laquo Phrea-king raquo (Cf figure 5) Imaginons maintenant que le pirate ait reacuteussi (par diffeacuterents moyens) agrave obtenir un login aux droits suffisants pour modifier la confi-guration de votre Ipbx Il peut alors parameacutetrer un laquo Trunck raquo agrave destination drsquoun autre IPbx et organi-ser la revente de minutes par dizaines de milliers dans un autre payshellip en utilisant le mecircme concept
Exemple de quelques outils SIPtap Wireshark VOMIT (Voice Over Misconfigured Internet Telephones) VoIPong NESUS nmap troyens divers UCSniff (ARP Saver VLAN Hopping) Digitask pour skype SIVUS Teardown Cain Backtrack Dsniff YLTI scapy SIPcrackhellip
Figure 5 accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
ASTERISK et les techniques de hack de la teacuteleacutephonie sur IP
hakin9orgfr 13
les interfaces des IPbx exeacutecution forceacutee de script comme le laquo cross site scripting raquo ou autres la falsi-fication des requecirctes inter-sites injections de don-neacuteeshellip
bull Plus simplement par deacutefaut les eacutequipements ToIP beacuteneacuteficient de services standard activeacutes (ex tel-net ouvert port SNMP et readwrite avec commu-nity name par deacutefaut interface Web de configura-tion de lrsquoeacutequipement permettant la modification de la configuration en http reacutecupeacuteration drsquoinformations directes statistiques reboot agrave distance port de troubleshooting authentification basique Services echo et time ouvertshellip) Toutes ces inattentions sur les eacutequipements facilitent souvent les actions dune personne mal intentionneacuteehellip
Quelques techniques utiliseacutees par les piratesGeacuteneacuteralement un simple laquo Snifer raquo sur votre LAN per-mettra agrave un pirate de reacutecupeacuterer une multitude drsquoinforma-tions telles que les protocoles utiliseacutes sur votre reacuteseau (CDP STP DNS DHCP LDAP MAPIhellip) et drsquoobtenir des renseignements sur votre plan adressage IP vos VLANs codecs utiliseacutes utilisateurs login mot de pas-se deacutecouverte de vos infrastructures de la topologie la marque des eacutequipements les IOS vos serveurs leurs OS et versions version des applicationshellip
bull Le ldquofuzzingrdquo est une meacutethode permettant de tester les logiciels et de mettre en eacutevidence des dysfonc-tionnements potentiels afin de constater la reacuteaction du systegraveme lorsquil reccediloit de fausses informations Cette meacutethode utilise un certain nombre drsquooutils de seacutecuriteacute utiliseacutes notamment lors drsquoaudits mais cer-taines personnes mal intentionneacutees srsquoen servent dans le but de trouver et exploiter des failles (comp-te administrateur augmentation des deacutelais DOS eacutecoutehellip)
bull Spam VoIP ou SPIT (Spam Over Internet Tele-phony) - le SPIT est comme son nom lrsquoindique un SPAM dont lobjectif est la diffusion dun mes-sage publicitaire en initiant etou relayant un maxi-mum drsquoappels agrave lrsquoaide de laquo Bots raquo agrave destination de millions dutilisateurs VoIP depuis le systegraveme com-promis Cette technique a de multiples conseacutequen-ces comme la saturation du systegraveme des MEVO des communications simultaneacuteeshellip Une utilisation deacutetourneacutee du SPIT consiste aussi agrave initier un maxi-mum drsquoappels agrave destination de Ndeg surtaxeacutes dans le but drsquoenrichir des organisations malveillanteshellip
bull Vishing (Voice Phishing) ndash Cette technique est comparable au laquo phishing raquo traditionnel dans le but drsquoinciter des utilisateurs agrave divulguer des don-neacutees confidentielles voire sensibles (par exemple noms dutilisateur mots de passe et ou numeacuteros de compte Ndeg de seacutecuriteacute sociale code bancaire adresses coordonneacuteeshellip) Dans notre cas crsquoest un
SPIT qui diffuse un message demandant aux utili-sateurs drsquoappeler un numeacutero speacutecifique pour veacuteri-fier les informations en questions et il ne reste plus qursquoagrave attendre que le teacuteleacutephone sonne Apregraves avoir reacutecupeacutereacute ces donneacutees le pirate les utilise ou les vend agrave des tiers
bull Vol dadresses eacutelectroniques ndash Lrsquousage du laquo Voi-cemail raquo se multipliant chaque utilisateur ou pres-que beacuteneacuteficie drsquoune adresse de messagerie eacutelec-tronique associeacutee cette attaque consiste agrave bom-barder le serveur de laquo voicemail raquo du domaine ToIP avec des milliers drsquoadresses mail de test (ex nomprenomclientfr nomprenomclientfr nomclientcom) Chaque adresse non valide est re-tourneacutee pour le reste lrsquoattaquant peut ainsi en deacute-duire un certain nombre drsquoadresses mail valides qursquoil pourra alors utiliser agrave sa guise pour drsquoautres at-taques (SPIT Vishing SPAM mailhellip)
bull Deacutetournement de trafic ou laquo Phreaking raquo est une meacutethode historique degraves les deacutebuts de la teacuteleacutephonie elle consiste agrave ne pas payer les communications et agrave rester anonyme En ToIP ce deacutetournement s ef-fectue apregraves reacutecupeacuteration dun couple loginpass valide ou apregraves accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone Les pionniers du laquo Phrea-king raquo (Cf figure 5) Imaginons maintenant que le pirate ait reacuteussi (par diffeacuterents moyens) agrave obtenir un login aux droits suffisants pour modifier la confi-guration de votre Ipbx Il peut alors parameacutetrer un laquo Trunck raquo agrave destination drsquoun autre IPbx et organi-ser la revente de minutes par dizaines de milliers dans un autre payshellip en utilisant le mecircme concept
Exemple de quelques outils SIPtap Wireshark VOMIT (Voice Over Misconfigured Internet Telephones) VoIPong NESUS nmap troyens divers UCSniff (ARP Saver VLAN Hopping) Digitask pour skype SIVUS Teardown Cain Backtrack Dsniff YLTI scapy SIPcrackhellip
Figure 5 accegraves physique dun utilisateur non autoriseacute agrave un teacuteleacutephone
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201014
DOSSIER
Quelques exemples de bonne pratique et de solutions Rassurez-vous il existe un ensemble de techniques pour contrer ces attaques Cependant il est conseilleacute de faire appel agrave des experts qui vous accompagneront dans cette deacutemarche et seront peacutedagogues Le risque ZERO nrsquoexiste pas geacuteneacuteralement en matiegravere de seacute-curiteacute il est assez simple de mettre en place un niveau de seacutecuriteacute de lrsquoordre de laquo 70 agrave 80 raquo de protection contre les attaques qui repreacutesente le premier palier de seacutecuriteacute bien suffisant pour une entreprise lamb-da Toujours simple mais cette fois-ci cela neacutecessite un investissement afin drsquoatteindre les laquo 85 agrave 90raquo de seacutecuriteacute pour une entreprise Ensuite deacutepasser les 90 agrave 95 devient plus compliqueacute et neacutecessite une expertise et des investissements lourds Pourtant ce niveau de seacutecuriteacute est primordial pour une banque une assurance ou encore les grandes industries dont le chiffre drsquoaffaires deacutepend en majoriteacute de la stabiliteacute de leurs systegravemes drsquoinformations de teacuteleacutephonies (cen-tre drsquoappelhellip)
Il existe enfin un niveau ultime de seacutecuriteacute aux ni-veaux gouvernemental aeacuterospatial renseignements services speacuteciaux armeacuteeshellipqui doit atteindre au mini-mum les 99 Non seulement ce niveau requiert des in-frastructures conseacutequentes mais eacutegalement une reacuteelle expertise 247
Pour en revenir agrave notre focus sur la seacutecuriteacute de la teacute-leacutephonie sur IP il est important de mener la reacuteflexion seacutecuriteacute en amont en phase de design de larchitecture de ToIP Lrsquoameacutelioration des niveaux de seacutecuriteacute passe entre autres par le respect de bonnes pratiques et lrsquoap-plication de solutions efficaces dont en voici quelques exemples
bull Mettre en place une reacuteelle politique de Mot de pas-se deacutejagrave difficilement geacutereacutee pour les comptes des stations de travail et encore moins pour les comp-tes de teacuteleacutephonie sur IP (complexiteacute dureacutee de vali-diteacute longueur minihellip)
bull Mettre en place des VLAN etou VRF deacutedieacutee ain-si qursquoune solution de supervisionmonitoring de vos infrastructures LANWAN et Voix afin de cloisonner vos reacuteseaux et de beacuteneacuteficier drsquoindicateurs speacutecifi-ques agrave Inteacutegrer aux tableaux de bord seacutecuriteacute des systegravemes drsquoinformations (TBSSI)
bull Des solutions existent en matiegravere de deacutetection drsquoat-taque (IDSIPS) etou de modification suspicieu-se sur le protocole ARP avec laquo Arpwatch raquo ou laquo snort raquo ou meacutecanisme basique dans le monde du switching comme le laquo port security raquo qui limite le nombre drsquoadresses MAC utilisables par port ou en-core du laquo 8021x raquohellip
bull Impleacutementer des pare-feux Statefull laquo nouvelle geacute-neacuteration raquo avec une reconnaissance protocolaire plus avanceacutee (ADN applicatifhellip)
bull Seacutecurisation des protocoles SIP et RTP par lrsquoutilisa-tion de PKI (Public Key Infrastructure) et la mise en place du laquo SIPS raquo laquo SRTP raquo laquo SRTCP raquo utilisant le laquo DTLS raquo RFC 4347hellip
bull Limiter les accegraves aux personnes non autoriseacutees (controcircle drsquoaccegraves) ne pas autoriser les prestataires agrave se connecter au LAN ni WIFI (hors guets) tou-jours ecirctre preacutesent en salle serveurs lors drsquointerven-tion et tracer les accegraves aux zones critiques
bull Suppression des anciens comptes etou inutiles suppression des logiciels ou modules inutiles sur lrsquoIPbx et les stations de travail
bull Maicirctrise et limitation des laquo softphones raquohellip bull Mettre en pratique la surveillance et lrsquoexploitation
des logs drsquoinfrastructureshellipbull Drsquoautre part lrsquoarchitecture physique ou logique du
reacuteseau LAN est tregraves importante Certains ont pour philosophie de maintenir deux reacuteseaux physique-ment seacutepareacutes drsquoautres sont partisans dune plus grande flexibiliteacute de mise en place de VLANhellip
bull Cocircteacute WAN ne jamais exposer son IPBX par une IP Public mecircme laquo nateacutee raquo ni en DMZ publique etou directement agrave lrsquoexteacuterieur mecircme un module speacute-cifique agrave cet usage est proposeacute privileacutegier le mode VPN SSL ou IPSEC par le biais du firewall
bull Si neacutecessaire envisager lrsquoajout de boicirctier de chiffre-ment mateacuteriel
bull Etchellip
DAVID HUREacute ndash PROJECT DEPARTMENT MANAGER ndash FRAMEIP
Responsable du bureau drsquoeacutetude de Frame-IP passionneacute et expert en reacuteseau seacutecuri-teacute et teacuteleacutephonie sur IP jrsquoapporte ma con-tribution et mon retour drsquoexpeacuterience dans un esprit de partage Entre autre confeacute-rencier pour des eacutecoles drsquoingeacutenieur et des seacuteminaires technologiques (ToIP Videacuteo
QoS et optimisation WAN PCAhellip) Davidhureframeipfr
Sites webbull httpwwwframeipcomvoipbull httpwwwframeipcomsmartspoofi ngbull httpwwwarchitoipcomentete-sipbull httpwwwarchitoipcomtoip-open-sourcebull httpwwwauthsecucomsniff ers-reseaux-commutessnif-
fers-reseaux-commutesphpbull httpwwwauthsecucomaffi chage-news1085-news-secu-
rite-les-pare-feux-22nouvelles22-generationhtm
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201016
Seacutecuriteacute reacuteSeaux
Beaucoup dobjectifs sont demandeacutes comme lrsquoop-timisation la performance ou la seacutecuriteacute Les critegraveres sont varieacutes et demandent drsquoecirctre eacutetudieacutes
de faccedilon rigoureuse comme la seacutecuriteacute par exemple pour que notre infrastructure ne contienne aucune faille susceptible decirctre exploiteacutee par un pirate
Nous verrons ensemble ce que sont les serveurs mandataires communeacutement appeleacutes laquo proxys raquo et le rocircle quils jouent dans la seacutecuriteacute
Apregraves la preacutesentation des proxys dits laquo simples raquo et les proxys inverseacutes nous nous inteacuteresserons agrave leur uti-lisation au sein drsquoun reacuteseau
Les utiliteacutes drsquoun serveur mandataireUn serveur mandataire ou encore laquo proxy raquo est un ser-veur qui travaille au niveau application Il est lieacute agrave un protocole preacutecis comme par exemple le protocole HTTP (Protocole utiliseacute pour le Web)
Cette fonction du proxy consiste agrave relayer des deman-des drsquoinformations drsquoun reacuteseau vers un autre
De faccedilon plus geacuteneacuterale le fonction premiegravere drsquoun proxy est le relai des requecirctes drsquoun poste client vers un poste serveur (le principe-mecircme de la communication) Le proxy joue un rocircle drsquointermeacutediaire entre cesx deux entiteacutes (cf Figure 1)
Les deux entiteacutes doivent pouvoir communiquer sans problegraveme sans perte ni alteacuteration de donneacutees
Certains ne voient peut-ecirctre pas encore lrsquoutiliteacute drsquoun serveur mandataire pourtant il assure de nombreuses fonctions telles que
Mise en cache drsquoinformations si certaines informa-tions sont demandeacutees reacuteguliegraverement (ex pour une re-cherche identique et reacutepeacuteteacutee sur Googlefr la page res-te la mecircme) Un serveur proxy peut garder en laquo cache raquo certaines informations comme la page de Google et ainsi lafficher de nouveau au client qui la redemande procurant ainsi un gain reacuteeacutel en performance sur le reacute-seau car moins de requecirctes sont envoyeacutees
Logs des requecirctes le serveur mandataire peut agrave chaque nouvelle requecircte reccedilue la stocker dans des fi-chiers de logs conservant ainsi une trace des activiteacutes sur le reacuteseau
Cette meacutethode sutilise pour centraliser les requecirctes sur un serveur proxy particulier (ex uUniversiteacute qui cherche agrave avoir un log de toutes les requecirctes faites en son sein)
Une entreprise rencontrant des problegravemes judiciaires pourra toujours se deacutefendre gracircce aux logs de ses ser-veurs (srsquoils nrsquoont pas eacuteteacute falsifieacutes) et qui comportent des informations comme
Qui se connecte Depuis ougrave Que fait la personne Son historique peut mecircme ecirctre conserveacute
La seacutecuriteacute supposons un parc informatique drsquoune centaine drsquoordinateurs Si tous les postes ont accegraves agrave internet via le serveur proxy les informations y sont centraliseacutees Dans le cas drsquoun problegraveme au niveau du reacuteseau informatique deacutepourvu de proxy chaque ordina-teur pourrait acceacuteder agrave internet directement il faudrait auditer tous les postes pour savoir lequel est deacutefaillant Le fait drsquoutiliser un serveur proxy centralise toutes les
Serveurs mandataires comment les utiliser
Srsquointeacuteresser agrave lrsquoarchitecture de son propre reacuteseau ou celui drsquoune entreprise neacutecessite de faire de nombreux choix quant agrave lrsquoinfrastructure
cet article expliquebull Le principe des diffeacuterents types de serveur mandataire dans la
seacutecuriteacute informatique leurs utilisations
ce quil faut savoirbull Notions en reacuteseau architecture informatique
Paul amar
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Serveur mandataires
hakin9orgfr 17
agrave lrsquoadresse httpwwwsitecom car elle nrsquoest pas dans son cache Elle sera ensuite achemineacutee agrave Pierre qui aura sa page
Si Jean veut acceacuteder agrave la page quelques minutes plus tard la requecircte arrivera au serveur proxy qui recher-chera cette page dans son cache Dans laffirmative il la renverra directement agrave Jean sans passer par le site en question afin drsquoeacuteviter la surcharge de requecircte Ce systegraveme permet drsquoeacuteviter un minimum la congestion drsquoun reacuteseau reacuteduit lrsquoutilisation de la bande passante tout en reacuteduisant le temps drsquoaccegraves (cf Figure 2)
Soit les donneacutees du cache sont stockeacutees dans la RAM (cest-agrave-dire la meacutemoire vive du serveur) soit el-les le sont sur le disque Il ne faut pas qursquoil garde la page indeacutefiniment mais qursquoil veacuterifie si sur le site distant la page est toujours la mecircme (ex un site drsquoactualiteacute informatique sera diffeacuterent tous les jours (voire toutes les heures) la page dans le cache doit ecirctre changeacutee reacuteguliegraverement)
Des serveurs proxy existent pour de multiples servi-ces sur internet comme http FTP SMTP IMAP hellip
Le reverse-proxy Le reverse proxy agrave lrsquoinverse du proxy simple est qursquoil permet aux utilisateurs drsquointernet drsquoacceacuteder agrave des ser-veurs propres au reacuteseau interne
Degraves lors le terme laquo reverse raquo commence agrave avoir du sens eacutetant donneacute qursquoil reacutealise lrsquoinverse drsquoun proxy sim-ple
De nombreuses fonctionnaliteacutes des laquo reverse proxys raquo se reacutevegravelent parfois utiles comme la protection des ser-veurs internes contre des attaques directes
Puisque les requecirctes sont laquo intercepteacutees raquo par le proxy il est donc en mesure de les analyser et les seacute-curiser si besoin pour eacuteviter des problegravemes de seacutecuriteacute sur le serveur
Le reverse-proxy sert de relais pour les utilisateurs souhaitant acceacuteder agrave un serveur interne
Parallegravelement le proxy offre des avantages comme la notion de cache qui soulage les charges dudes ser-veurs internes La page drsquoaccueil drsquoun site Web peut ecirctre gardeacutee dans le cache du proxy et ainsi le trafic vers le serveur Web est alleacutegeacute
requecirctes optimise la gestion du reacuteseau (en utilisant son cache) et en cas de problegraveme regarder seulement les logs du serveur proxy pour avoir une ideacutee geacuteneacuterale du problegraveme souleveacute
Le filtrage comme indiqueacute plus tocirct centraliser les requecirctes sur un serveur proxy permet de laquo garder la main raquo sur certaines activiteacutes reacuteseau drsquoun usager Au lieu de mettre des regravegles de filtrage agrave tous les postes sur le reacuteseau les mettre uniquement sur le serveur proxy il sera alors interrogeacute degraves qursquoun des postes sou-haitera faire une action speacutecifique Il nrsquoy a pas de risque de corruption de la machine (contournement des regravegles de seacutecuriteacute concernant le filtrage) et toutes les infor-mations sont centraliseacutees Il y a lagrave aussi une meilleure performance concernant la maintenance du parc infor-matique car srsquoil faut changer certaines regravegles seules celles du serveur proxy devront lrsquoecirctre Le filtrage peut se faire en fonction de nombreux critegraveres adresse IP Paquets Contenu par personnes authentifieacutees hellip (ex dans une entreprise faire en sorte que les sites de jeu en ligne etc soient bannis)
Lrsquoauthentification un proxy est indispensable dans la communication des deux entiteacutes si elles sont bien configureacutees Degraves lors le proxy servira agrave identifier les utilisateurs avec un login password Un mauvais lo-gin naura pas accegraves aux ressources demandeacutees Cela ajoute une autre laquo couche raquo non neacutegligeable de seacutecu-riteacute dans notre infrastructure Un pirate verra ses ac-tions limiteacutees jusqursquoagrave ce qursquoil trouve le couple login password qui convient
Les diffeacuterents types de serveurs mandatairesLe proxy simple joue le rocircle drsquoun intermeacutediaire entre les ordinateurs drsquoun reacuteseau local et Internet
La plupart du temps nous entendons parler de proxy laquo http raquo ou encore laquo https raquo qui sont les plus courants sur la toile
Ils sont souvent utiliseacutes avec un cache permettant ainsi drsquoeacuteviter une surcharge sur le reacuteseau et drsquoacceacuteder plus vite agrave la page
Prenons le cas ougrave Pierre veut acceacuteder agrave la page de httpwwwsitecom La requecircte de Pierre passera par le serveur proxy du reacuteseau local qui cherchera la page
Figure 1 Scheacutema theacuteorique drsquoun serveur mandataire simple
Patrick veut contacter Alice
Le proxy rebascule la reacuteponde dAlice
Patrick Le serveur mandataire
Le proxy contacte Alice pour Patrick
Le serveur mandataire reccediloit la reacuteponse dAlice
Alice
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201018
Seacutecuriteacute reacuteSeaux
De plus imaginons une infrastructure dans laquelle deux serveurs auraient les mecircmes fonctionnaliteacutes (ex serveur Web) Le reverse-proxy ferait du laquo load-balan-cing raquo cest-agrave-dire de la reacutepartition de charge concer-nant les serveurs Les requecirctes sont alterneacutees en fonction des deux serveurs eacutevitant ainsi la congestion susceptible de provoquer un dysfonctionnement du ser-veur comme un deacuteni de service (cf Figure 3)
autres types de serveurs mandatairesTraitons maintenant des proxys dits laquo SOCKS raquo
SOCK est un protocole reacuteseau il permet agrave des appli-cations clientserveur drsquoemployer de maniegravere transpa-rente les services drsquoun pare-feu
SOCKS est lrsquoabreacuteviation de laquo socket raquo et est une sor-te de proxy pour les laquo sockets raquo
En soit les proxys SOCKS ne savent rien du proto-cole utiliseacute au-dessus (que ce soit du http ftp hellip) cf Figure 4
Certains lrsquoauront peut-ecirctre compris SOCKS est une couche intermeacutediaire entre la couche applicative et la couche transport (drsquoapregraves le modegravele OSI)
Ces proxys diffegraverent du proxy traditionnel qui ne sup-porte que certains protocoles
Ils sont plus modulables et sont ainsi aptes agrave reacutepon-dre agrave des besoins varieacutes
Deux composants sont neacutecessaires quant agrave lrsquoutilisa-tion drsquoun serveur mandataire SOCKS qui sont
Le serveur SOCKS est mis en œuvre au niveau de la couche application
Le client SOCKS est mis en œuvre entre les couches application et transport
Pour ce qui est du mode de fonctionnement Lrsquoapplication se connecte agrave un proxy SOCKSLe serveur mandataire veacuterifie la faisabiliteacute de la de-
mandeIl transmet la requecircte au serveur si crsquoest faisableCependant il existe drsquoautres types de serveurs man-
dataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception) hellip qui ne seront pas deacutecrits dans cet article
Nous allons maintenant nous inteacuteresser agrave une eacutetude de cas drsquoun reverse-proxy au sein drsquoune entreprise et son utilisation (drsquoun point de vue seacutecuriteacute) dans lrsquoentre-prise
eacutetude de cas au sein drsquoune entreprisePrenons en exemple une entreprise basique actuel-lement la plupart des compagnies ont leur propre site web afin de preacutesenter les produits prestations de servi-ces qursquoils offrent
Ideacutealement cela signifie que leur reacuteseau informatique doit comporter un serveur Web
Imaginons que nous utilisions un reverse-proxy qui permettrait lrsquoaccegraves agrave ce serveur Web
Quelle serait lrsquoutiliteacute drsquoun tel eacutequipement Les fonctionnaliteacutes de serveurs mandataires et des
reverse-proxy en geacuteneacuteral ont eacuteteacute eacuteliciteacutesLe reverse-proxy neacutecessaire serait utiliseacute pour les
protocoles HTTPHTTPS puisque crsquoest un serveur Web
Figure 2 Utilisation drsquoun serveur mandataire simple
Pierre veut contacter Jean il passe par le proxy
Le proxy rebascule la reacuteponse de Jean
Pierre Le serveur mandataire
Jean
Le proxy va alors (si cest possible) envoyer la requecircte
vers Jean
Le serveur mandataire reccediloit la reacuteponse de
Jean
La toile
La requecircte arrive agrave Jean
Jean peut alors recommuniquer avec Pierre par lintermeacutediare du proxy
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
hakin9orgfr
Nous utiliserions cet eacutequipement pour qursquoil controcircle les requecirctes envoyeacutees en placcedilant certains filtres afin deacutevi-ter des attaques (qursquoelles soient de type XSS SQL In-jection XSHM XSRFhellip)
Selon le besoin en bande passante nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandeacutees Cela aurait pour effet de reacute-duire lrsquousage de la bande passante de ne pas conges-tionner le reacuteseau et de procurer plus de rapiditeacute aux internautes
De plus lrsquoutilisation drsquoun reverse-proxy eacuteviterait cer-tains DoS (Deacuteni de Service) qui ne seraient pas de tregraves forte intensiteacute et alleacutegerait les charges sur le serveur Web interne
Si lrsquoentreprise est assez importante elle pourrait dis-poser de plusieurs serveurs Web similaires (pour eacuteviter quen cas de panne le site ne soit plus du tout acces-sible) le reverse-proxy reacutealiserait du load-balancing agrave savoir enverrait les requecirctes agrave lun des deux serveurs Web de faccedilon eacutegale pour reacutepartir les tacircches
Dans un second temps afin de centraliser toutes les requecirctes vers lrsquoexteacuterieur un proxy interne serait agrave envi-sager Comme expliqueacute dans les rubriques preacuteceacuteden-tes cela peut ecirctre inteacuteressant pour reacutealiser des filtra-ges Afin drsquoeacuteviter drsquoacceacuteder agrave du contenu non solliciteacute (ex des sites de jeux en ligne au travail) tous les pos-tes du parc informatique iraient sur internet en passant par un serveur proxy simple
Les regravegles de filtrage ne seraient alors qursquoagrave ajouter au serveur proxy qui les prendrait en compte pour chaque requecircte reccedilue Puisque cet eacutequipement ne serait pas laquo accessible raquo depuis les autres ordinateurs il y aurait moins facilement de contournement des regravegles de seacute-curiteacute
En outre si un problegraveme persiste sur le reacuteseau le ser-veur proxy (intermeacutediaire entre le reacuteseau priveacute et la toi-le) diagnostiquerait ce problegraveme Gracircce agrave la journalisa-tion et les logs du trafic il est possible de remonter aux postes infecteacutes au lieu de chercher le(s) problegraveme(s) sur tout le parc informatique
Vous lrsquoaurez remarqueacute les possibiliteacutes sont nombreu-ses quant agrave leurs utilisations
annexesbull httpfrwikipediaorgwikiProxy - Article de Wikipeacutedia sur
les serveurs mandatairesbull httpfrwikipediaorgwikiRC3A9partition_de_charge
ndash Article concernant le pheacutenomegravene de laquo load-balancing raquo ou encore reacutepartition de charge
bull httpwwwcommentcamarchenetcontentslanproxyphp3 - Article inteacuteressant sur le site CommentCaMarchenet
bull httpwwwsquid-cacheorg - Squid Proxy pouvant utilis-er les protocoles FTP HTTPHTTPS et Gopher (peut servir de Reverse-proxy)
bull httpvarnish-cacheorg - Autre laquo reverse-proxy raquo Varnishbull httpimapproxyorg - Proxy utilisant le protocole IMAP
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201020
Seacutecuriteacute reacuteSeaux
Cependant il existe toujours des entreprises qui nrsquouti-lisent pas ce genre drsquoeacutequipement pourtant tregraves utile Leurs raisons sont diverses notamment une meacutecon-naissance de linstallation dun tel eacutequipement Enfin
Une certaine maintenance est neacutecessaire afin de gar-der agrave jour les logiciels
conclusionNous venons de voir les principaux types de serveurs mandataires utiliseacutes sur la toile et nous avons tenteacute drsquoeacuteclaircir certains points notamment pour les person-nes nayant que de vagues connaissances des proxys (agrave savoir les plus souvent utiliseacutes les proxys Web)
Cependant il ne faut pas oublier qursquoutiliser un ser-veur mandataire ne nous protegravege pas contre tous les risques potentiels sur la Toile Bien entendu coupler ce
type de serveur agrave drsquoautres systegravemes tels que des HIDS (Systegraveme de deacutetection drsquointrusion) NIDS (Systegraveme de deacutetection drsquointrusion reacuteseau) etc est un bon moyen de seacutecuriser son reacuteseau car les diffeacuterentes traces laisseacutees par les pirates peuvent ecirctre analyseacutees
Agrave ProPoS de LauteurActuellement en eacutecole drsquoingeacutenieur Paul eacutetudie diffeacuterents as-pects de la seacutecuriteacute informatique Passionneacute par la seacutecuriteacute depuis plusieurs anneacutees il srsquointeacuteresse particuliegraverement agrave la seacutecuriteacute des systegravemes drsquoinformations et souhaiterait si possible y consacrer sa carriegravere
Figure 3 Utilisation drsquoun reverse-proxy
Pierre
Pierre veut contacter le site
web http websitecom
Pierre reccediloit la reacuteponse HTTP du reverse-proxy de
maniegravere transparente Le serveur mandataire renvoie la reacuteponse HTTP agrave Pierre
Le serveur Web interne reacutepond agrave
la requecircte de Pierre
Apregraves avoir seacutecuriseacute loggueacute la
requecircte etc Il lenvoie au serveur
Web interne
Reacuteseau interne de lentreprise
Reverse-proxy (HTTP)Serveur
Web httpwebsitecom
Le serveurmandatire recolt
la requecircte dePierre
Figure 4 Utilisation drsquoun serveur mandataire SOCKS
Pierre souhaite communiquer agrave laide dun serveur mandataire SOCKS
Le client SOCKS reacutecupegravere la reacuteponse si
są demande eacutetait agrave lorigine faisable
Client SOCK ServeurSOCKS
Si la requecircte est consideacutereacutee comme
bdquofaisablerdquo on lenvoie au serveur cible
Le serveur cible reacutepond
Serveur cible
Le serveur SOCKS veacuterifie la
faisabiliteacute
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201022
Seacutecuriteacute reacuteSeaux
SSH ou bien Secure Shell est agrave la fois un pro-gramme informatique et un protocole de com-munication seacutecuriseacute Le protocole de connexion
impose un eacutechange de cleacutes de chiffrement en deacutebut de connexion Par la suite toutes les trames sont chiffreacutees Il devient donc impossible dutiliser un sniffer tel que Wi-reshark pour voir ce que fait lutilisateur via les donneacutees qursquoil reccediloit ou envoi Le protocole SSH a initialement eacuteteacute conccedilu avec lobjectif de remplacer les diffeacuterents pro-grammes rlogin telnet et rsh qui ont la facirccheuse ten-dance de faire passer en clair lrsquoensemble des donneacutees drsquoun utilisateur vers un serveur et inversement permet-tant agrave une personne tierce de reacutecupeacuterer les couples de loginmot de passe les donneacutees bancaire etc
Le protocole SSH existe en deux versions la ver-sion 10 et la version 20 La version 10 souffrait de
failles de seacutecuriteacute et fut donc rapidement rendue ob-solegravete avec lrsquoapparition de la version 20 La version 2 est largement utiliseacutee agrave travers le monde par une grande majoriteacute des entreprises Cette version a reacute-gleacute les problegravemes de seacutecuriteacute lieacutee agrave la version 10 tout en rajoutant de nouvelles fonctionnaliteacutes telles qursquoun protocole de transfert de fichiers complet La version 10 de SSH a eacuteteacute conccedilue par Tatu Yloumlnen agrave Espoo en Finlande en 1995 Il a creacuteeacute le premier programme utilisant ce protocole et a ensuite ouvert une socieacuteteacute SSH Communications Security pour exploiter cette in-novation Cette premiegravere version utilisait certains logi-ciels libres comme la bibliothegraveque Gnu libgmp mais au fil du temps ces logiciels ont eacuteteacute remplaceacutes par des logiciels proprieacutetaires SSH Communications Security a vendu sa licence SSH agrave F-Secure
connexion seacutecuriseacutee gracircce agrave SSH
Proteacutegez vos communications de lensemble des actes de piratage en chiffrant vos donneacutees La mise en place de protocole seacutecuriseacute pour les communications distantes est vivement recommandeacutee du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave chaque instant dans lrsquoimmensiteacute de lrsquointernet Il est donc temps de remplacer tous ces protocoles et de posseacuteder vos accegraves SSH
cet article expliquebull Lrsquointeacuterecirct drsquoutiliser des protocoles seacutecuriseacutebull La mise en place drsquoun serveur SSH
ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation UNIXLinux
reacutegis Senet
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 23
tement conseilleacutee pour la seacutecuriteacute ainsi que la stabiliteacute de votre systegraveme drsquoexploitation
installation de SSHDans un premier temps nous allons reacutealiser lrsquoinstalla-tion via le gestionnaire de paquet propre agrave un systegrave-me Debian le systegraveme APT (Advanced Package Tool) Nous verrons lrsquoinstallation via les sources un peu plus tard
nocrash~ apt-get install ssh
Installation de SSH en ligne de commande
bull Les paquets suivants sont des deacutependances du pa-quet SSH
bull openssh-clientbull client shell seacutecuriseacutebull openssh-serverbull Serveur shell seacutecuritaire
installation via les sourcesNous allons agrave preacutesent voir lrsquoinstallation via les sources directement disponibles sur le site officiel drsquoOpenSSH (httpwwwopensshorg)
Dans lrsquoeacuteventualiteacute ougrave vous avez deacutejagrave installeacute OpenSSH via le gestionnaire de paquet comme vu preacuteceacutedem-ment il est neacutecessaire de le deacutesinstaller avant de faire une nouvelle installation
nocrash~ apt-get autoremove ssh
Une fois correctement deacutesinstalleacute il est possible de reacutealiser lrsquoinstallation par les sources
nocrash~ mkdir usrssh
nocrash~ cd usrssh
nocrash~ wget ftpftpopenbsdorgpubOpenBSD
OpenSSHportableopenssh-52p1targz
nocrash~ tar xzvf openssh-52p1targz
nocrash~ cd openssh-52p1
nocrash~ configure --bindir=usrlocalbin --
sbindir=usrsbin --sysconfdir=etc
ssh
nocrash~ make ampamp make install
En cas drsquoerreur reportez-vous agrave NB
installationAu cours de cet article la distribution utiliseacutee fut une Debian 50 (Lenny) entiegraverement mise agrave jour Attention il est possible que certaines commandes ne soient pas tout agrave fait identiques sur une autre distribution Lrsquoen-semble des installations va se reacutealiser gracircce au ges-tionnaire de paquets propre agrave un systegraveme Debian APT (Advanced Package Tool)
Mise agrave jour du systegravemeIl est possible agrave tout moment qursquoune faille de seacutecuriteacute soit deacutecouverte dans lrsquoun des modules composant votre systegraveme que ce soit Apache ou quoi que ce soit drsquoautre Certaines de ces failles peuvent ecirctre critiques drsquoun point de vue seacutecuriteacute pour lrsquoentreprise Afin de combler ce ris-que potentiel il est neacutecessaire de reacuteguliegraverement mettre agrave jour lrsquoensemble du systegraveme gracircce agrave divers patches de seacutecuriteacute
Il est possible de mettre agrave jour lrsquoensemble du systegraveme via la commande suivante
nocrash~ apt-get update ampamp apt-get upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour il est donc possible de mettre en place un serveur SSH dans de bonnes conditions Il est possi-ble de ne pas passer par cette eacutetape mais elle est for-
Figure 1 Logiciel Putty
Figure 2 Nous voici ainsi connecteacute sur notre serveur distant gracircce agrave Putty
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201024
Seacutecuriteacute reacuteSeaux
configurations preacutealableSur certaines distribution afin de pouvoir activer le serveur SSH il est neacutecessaire de supprimer un fichier preacutesent par deacutefaut le fichier etcsshsshd_not_to_be_run avant de pouvoir lancer le serveur SSH
nocrash~ rm -rf etcsshsshd_not_to_be_run
Une fois le fichier supprimeacute (srsquoil existe) il est possible de passer agrave la phase de configuration
configuration du serveur SSHLe fichier regroupant lrsquoensemble des configurations du serveur SSH se trouve ecirctre le fichier etcsshsshd_config Nous allons eacutediter ce fichier afin de pouvoir y fai-re nos modifications
nocrash~ vi etcsshsshd_config
Voici les paramegravetres principaux au bon parameacutetrage de notre serveur SSH
Port 22
Cette directive signifie simplement que le serveur SSH va eacutecouter sur le port 22 (port par deacutefaut) Il est possi-ble de faire eacutecouter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffeacuterents
Protocol 2
Cette directive permet de speacutecifier que seul la version 2 du protocole SSH sera utiliseacutee la version 1 de SSH est obsolegravete pour des raisons de seacutecuriteacute
PermitRootLogin no
Cette directive permet drsquoempecirccher toute connexion agrave distante avec lrsquoutilisateur root (superutilisateur) Un ac-cegraves distant gracircce avec lrsquoutilisateur root par une person-ne mal intentionneacutee pourrait ecirctre catastrophique pour lrsquointeacutegriteacute du systegraveme
PermitEmptyPasswords no
Cette directive permet drsquointerdire les connexions avec un mot de passe vide il est indispensable de mettre cette directive agrave no
LoginGraceTime 30
Cette directive permet de limiter le laps de temps per-mettant de se connecter au SSH
AllowUsers nocrash
AllowGroups admin
Ces directives donnent la possibiliteacute de nrsquoautoriser que certains utilisateur etou groupe
AllowTcpForwarding no
X11Forwarding no
Ces directives permettent de deacutesactiver le transfert de port TCP et le transfert X11
authentificationIl existe deux meacutethodes afin de pouvoir srsquoauthentifier en SSH sur une machine distante Ces deux meacutethodes sont
bull Authentification par cleacutebull Authentification par mot de passe
Figure 3 puTTYKey generator
Figure 4 Configuration de Putty
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
connexion seacutecuriseacutee gracircce agrave SSH
hakin9orgfr 25
authentification par cleacuteLrsquoauthentification par cleacute est un tregraves bon moyen pour srsquoauthentifier de maniegravere seacutecuriseacute En effet des cleacutes asymeacutetriques de type DSA vont ecirctre geacuteneacutereacutees
Afin de geacuteneacuterer nos cleacutes DSA nous allons utiliser la commande suivante
nocrash~ ssh-keygen -t dsa
Les cleacutes geacuteneacutereacutees par deacutefaut auront une taille de 1024 bits ce qui est largement suffisant pour assurer une bonne protection
Deux cleacutes vont donc ecirctre geacuteneacutereacutees
bull Une cleacute publique preacutesente dans le fichier ~sshid _
dsapub avec les permissions 644bull Une cleacute priveacutee preacutesente dans le fichier ~sshid _
dsa avec les permissions 600
Lors de la creacuteation des cleacutes une passphrase vous sera demandeacutee il est important de choisir un mot de passe complexe En effet cette passphrase permet de cryp-ter la cleacute priveacutee (cleacute devant rester absolument agrave votre seule connaissance)
Au cas ougrave vous vous seriez trompeacute dans votre pass-phrase il est toujours possible de la modifier gracircce agrave la commande suivante
nocrash~ ssh-keygen -p
La derniegravere eacutetape avant de pouvoir srsquoauthentifier par cleacute publique est drsquoautoriser sa propre cleacute Pour cela il est neacutecessaire drsquoajouter votre cleacute publique dans le fi-chier sshauthorized _ keys de la machine sur laquelle vous voulez vous connecter
Pour reacutealiser cela il est neacutecessaire drsquoutiliser la com-mande suivante
nocrash~ ssh-copy-id -i ~sshid_dsapub login
Adresse_de_la_machine
Pour mon exemple
nocrash~ ssh-copy-id -i ~sshid_dsapub
nocrash1921681138
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile sshauthorized_keys
IgnoreRhosts yes
(mettez ces 2 options agrave no si vous ne voulez offrir
laccegraves quaux utilisateurs ayant
enregistreacute leur cleacutes)
authentification par mot de passeLrsquoauthentification par mot de passe quand agrave elle est une authentification tregraves simple agrave mettre en place du fait qursquoil nrsquoy a rien agrave mettre en place
Il est neacutecessaire que lrsquoutilisateur voulant se connec-ter possegravede un compte sur la machine distante et crsquoest tout
Dans lrsquoexemple suivant nous voulons nous connec-ter avec lrsquoutilisateur NoCrash sur la machine reacutepon-dant agrave lrsquoadresse IP 1921681138 Nous allons donc veacuterifier que cet utilisateur existe bien avant tout Dans le cas ougrave il nrsquoexisterait pas il est neacutecessaire de le creacuteer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no)
nocrash~ cat etcpasswd | grep nocrash
nocrashx10001000nocrashhomenocrashbinbash
Le x juste apregraves le login permet de speacutecifier qursquoun mot de passe est bien preacutesent
Voici agrave quoi pourrait ressembler le fichier de configu-ration
Port 22
Protocol 2
ListenAddress 1921681138
ServerKeyBits 1024
PermitRootLogin no
PubkeyAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
Compression yes
A preacutesent que lrsquoensemble des configurations sont fai-tes il est neacutecessaire de lancer le serveur SSH Pour cela nous allons utiliser la commande suivante
nocrash~ etcinitdssh start
Si tout ce passe bien nous allons avoir le message suivant
Starting OpenBSD Secure Shell server sshd
Il est alors possible de pouvoir se connecter agrave la ma-chine distante
connexionAfin de se connecter en SSH sur une machine distante posseacutedant un serveur SSH il est possible drsquoutiliser la li-
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201026
Seacutecuriteacute reacuteSeaux
gne de commande dans le cas ougrave vous ecirctes sous Linux ou MAC
Pour cela voici la commande agrave utiliser (voir Figure 2)
nocrash~ ssh login Adresse_de_la_machine
Soit pour notre exemple
nocrash~ ssh nocrash1921691138
Pour les machines de type Windows il nrsquoexiste pas de client SSH en natif il est alors neacutecessaire de passer par des logiciels tels que Putty (voir Figure 1)
authentification par cleacuteComme il est possible de le voir dans lrsquoauthentification par mot de passe nous allons tenter de nous connecter au serveur distant via SSH gracircce agrave Putty
Putty ne sachant pas geacuterer les clefs geacuteneacutereacutees par le serveur avec ssh-keygen il faut utiliser lrsquoutilitaire puttygen afin de geacuteneacuterer un couple de cleacutes utilisable
Ouvrez puTTYKey generator puis geacuteneacuterer une nou-velle paire de cleacutes (voir Figure 3)
Cliquez agrave preacutesent sur Save public key et Save private key afin de sauvegarder les cleacutes Il est agrave preacutesent neacuteces-saire de copier la cleacute publique que vous venez de geacuteneacute-rer sur le serveur distant agrave lrsquoadresse suivante ~sshauthorized_keys
Une fois les cleacutes geacuteneacutereacutees il est possible de se connecter avec Putty Il est neacutecessaire de speacutecifier lrsquoem-placement de la cleacute priveacutee dans Connection gtgt SSH gtgt Auth avant de se connecter (voir Figure 4)
astucesDans le fichier de configuration de ssh soit le fichier etcsshsshd_config il nrsquoest pas obligatoire mais forte-ment conseilleacute de modifier le port utiliseacute par SSH Par deacutefaut il srsquoagit du port 22 Ce petit changement per-met de brouiller un attaquant qui srsquoattendrais agrave voir un SSH sur le port 22 et non pas sur le port 1998 par exemple
Port 1998
Afin de veacuterifier que vos mots de passe sont assez complexes il est possible de tenter de les casser vous-mecircmes afin de veacuterifier si quelqursquoun drsquoautre en est capable
Pour cela il est neacutecessaire drsquoinstaller John The Rip-per un utilitaire de cassage de mot de passe
nocrash~ apt-get install john
Il est maintenant possible de veacuterifier vos mots de pas-se
nocrash~ john etcshadow
Les mots de passe trouveacutes sont donc jugeacutes comme eacutetant trop simple il est preacutefeacuterable de les modifier
conclusionLa mise en place de protocole seacutecuriseacute pour les com-munications distantes est vivement recommandeacute du fait que nous ne pouvons pas savoir qui nous eacutecoute agrave cha-que instant dans lrsquoimmensiteacute de lrsquointernet Il ne faut pas non plus croire que le danger vient simplement de lrsquoin-ternet En effet la majoriteacute des actes de piratages infor-matique se font au sein drsquoune mecircme entreprise par les employeacutes eux-mecircmes Il est donc temps de proteacuteger vos communications de lrsquoensemble de ces voyeurs il est temps de chiffrer vos donneacutees il est temps de rem-placer tous ces protocoles laissant vos donneacutees tran-siter en claires sur le reacuteseau il est temps de posseacuteder vos accegraves SSH
a PrOPOS De LauteurReacutegis SENET est actuellement eacutetudiant en quatriegraveme anneacutee agrave lrsquoeacutecole Supeacuterieur drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacute-couvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il est actuellement en train de srsquoorienter vers le cursus CEH LPT et O ensive Security Contact regissenetsupinfocomSite internet httpwwwregis-senetfr Page drsquoaccueil httpwwwopensshcom
NB Si vous systegraveme a reacutecemment eacuteteacute installeacute il est possi-ble que certaine librairies soit manquante Il est neacutecessaire de les installer
bull Librairie gcc apt-get install gccbull Librairie libcrypto SSL apt-get install libssl-dev
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Succes Story
hakin9orgfr 27
High-Tech Bridge SA est une socieacuteteacute genevoi-se neacutee en 2007 dont lrsquoactionnariat est deacutetenu entiegraverement par des priveacutes Suisses Elle pro-
pose des services de Ethical Hacking au travers des tests de peacuteneacutetration des scans de vulneacuterabiliteacutes des investigations numeacuteriques leacutegales elle propose eacutega-lement ses prestations dexpert en preacutevention du cy-ber-crime
Son emplacement strateacutegique en Suisse garantit confidentialiteacute objectiviteacute et absolue neutraliteacute Lrsquoob-jectif de High-Tech Bridge consiste agrave fournir agrave ses clients une valeur ajouteacutee en leur proposant des ser-vices de seacutecuriteacute informatique fiables de confiance et hautement efficaces fondeacutes sur les derniegraveres tech-nologies uniques de son deacutepartement de Recherche et de Deacuteveloppement Ce deacutepartement de Recher-che en Seacutecuriteacute Informatique permet dunir les efforts mondiaux des meilleurs experts en seacutecuriteacute Les ex-perts de High-Tech Bridge sefforcent en permanence de deacutecouvrir de nouvelles vulneacuterabiliteacutes et techniques dattaque avant que des pirates ne le fassent ce qui lui permet danticiper les problegravemes et de proteacuteger au mieux les clients
Depuis Juin 2010 High-Tech Bridge propose des ser-vices dexpertise compleacutementaires avec ses modules de Scan de Vulneacuterabiliteacutes Automatiseacute et de Veille Seacute-curitaire
Le Directeur du Deacutepartement de Ethical Hacking de High-Tech Bridge M Freacutedeacuteric Bourla sexprime sur ce
sujet Lintroduction dun service distinct de Scan de Vulneacuterabiliteacutes Automatiseacute souligne lavantage concur-rentiel de High-Tech Bridge sur le marcheacute de lEthical Hacking Aujourdhui les socieacuteteacutes en majoriteacute propo-sent des scans de vulneacuterabiliteacutes automatiseacutes ou semi-automatiseacutes sous lappellation abusive de laquo tests de peacuteneacutetration raquo dont lapproche est radicalement dif-feacuterente de celle de High-Tech Bridge Dapregraves notre expeacuterience plus de 60 des vulneacuterabiliteacutes critiques identifieacutees durant un test de peacuteneacutetration sont deacutecou-vertes lors dune analyse effectueacutee manuellement par nos experts Il sagit geacuteneacuteralement dun savant meacutelan-ge de vulneacuterabiliteacutes connues dont la signature finale ne permet pas une deacutetection efficace par un proces-sus automatiseacute
En mecircme temps le directeur du Deacutepartement de Re-cherche et Deacuteveloppement de High-Tech Bridge M Marcel Salakhoff introduit un nouveau service exclu-sif de veille de vulneacuterabiliteacutes 0-Day High-Tech Bridge est fiegravere decirctre la premiegravere entreprise suisse agrave propo-ser ce service unique et de haute qualiteacute La prestation sadresse principalement aux grandes institutions finan-ciegraveres aux socieacuteteacutes multinationales et aux gouverne-ments deacutesireux de reacuteduire au maximum les risques de compromission
Leacutelargissement de sa gamme de services permettra agrave High-Tech Bridge daugmenter ses parts de marcheacute et de poursuivre son expansion sur le marcheacute de la seacutecu-riteacute informatique en Suisse
Succegraves de HT BridgeLrsquoobjectif de High-Tech Bridge consiste agrave fournir une valeur-ajouteacutee agrave ses clients en leur proposant des services de seacutecuriteacute informatique fiables de confiance et hautement efficaces baseacutes sur les derniegraveres technologies uniques de son deacutepartement de Recherche et de Deacuteveloppement
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201028
Pratique
Nous appuierons lensemble de nos explications sur lutilisation dun serveur GNULinux fondeacute sur une distribution Debian la Debian 50 (De-
bian Lenny) La distribution Debian a eacuteteacute choisie pour sa soliditeacute sa stabiliteacute et sa populariteacute NB Vue la longueur de lrsquoarticle nous lrsquoavons diviseacute en 2 parties Vous trouverez la suite de lrsquoarticle Nagios dans la partie 2
installations des preacute-requis systegravemeAgrave tout moment une faille de seacutecuriteacute est susceptible decirctre deacutecouverte dans lrsquoun des modules composant votre sys-tegraveme que ce soit Apache un module du noyau ou quoi que ce soit drsquoautre Certaines de ces failles sont parfois critiques pour lrsquoentreprise drsquoun point de vue seacutecuriteacute Afin de preacutevenir ce risque potentiel il est neacutecessaire de reacutegu-liegraverement actualiser lrsquoensemble du systegraveme
nocrash~ aptitude -y update ampamp aptitude -y safe-
upgrade
Le systegraveme drsquoexploitation est maintenant complegravete-ment agrave jour la mise en place de notre serveur de su-pervision peut se faire dans de bonnes conditions
Si cette eacutetape nest pas indispensable elle est toute-fois fortement conseilleacutee pour la seacutecuriteacute et la stabiliteacute de votre systegraveme drsquoexploitation
installation des librairies requisesDurant toute la mise en place du serveur de supervi-sion de nombreuses librairies seront neacutecessaires au
bon fonctionnement de lrsquoensemble des logiciels agrave ins-taller Elles ne seront pas toutes deacutetailleacutees mais une liste des librairies neacutecessaires est repreacutesenteacutee au Lis-ting 1
Nagios ainsi que lrsquoensemble des outils de supervi-sion que nous allons mettre en place reacutesument les ac-tiviteacutes des machines gracircce agrave des graphiques plus ou moins avanceacutes Pour cela il est neacutecessaire de disposer des bonnes librairies graphiques
nocrash~ aptitude install -y libgd2-noxpm-dev
libjpeg62-dev libpng12-dev libjpeg62
installation drsquoun serveur de tempsLe serveur sera constamment agrave lrsquoheure gracircce agrave un serveur de temps En effet si le serveur nrsquoest plus agrave la bonne heure les graphiques et les fichiers de journalisation seront faux entraicircnant ainsi des erreurs lors de la lecture des donneacutees
Pour installer un serveur de temps aussi appeleacute serveur NTP (Network Time Protocol) il suffit drsquoutili-ser la commande suivante
nocrash~ aptitude install -y ntp-simple ntpdate
Pour toute modification sur la configuration du ser-veur NTP il sera neacutecessaire de modifier le fichier de configuration etcntpconf mecircme si des serveurs sont initialement preacutesents dans ce fichier
installation drsquoun serveur de messagerie SMtPLors de changement de statut drsquoun hocircte ou plus Nagios a la possibiliteacute drsquoenvoyer des mails agrave une ou plusieurs
Supervisez votre reacuteseau gracircce agrave Nagios
A lrsquoheure actuelle les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonctionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorganisationnelles La supervision des parcs informatiques est alors neacutecessaire et indispensable
Cet article expliquebull Ce qursquoest Nagios Centreon Cacti
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
reacutegis Senet
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 29
avec les activiteacutes les graphiques les utilisateurs etc Agrave cette fin nous mettrons en place une base de donneacutees Nous avons opteacute pour une base de donneacutees MySQL car crsquoest lrsquoun des SGDB (Systegraveme de Gestion de Base de Donneacutees) le plus utiliseacute et aussi en raison de sa li-cence libre (cf Figure 2)
Installons donc la derniegravere version de MySQL nocrash~ aptitude install -y mysql-server-50
libmysqlclient15-dev
Une importante partie de la seacutecuriteacute de la base de donneacutees passe par la complexiteacute du mot de passe Il est vraiment indispensable quil soit complexe meacute-langeant chiffres et lettres majuscules ou minuscu-les
Une fois la base de donneacutees installeacutee il faut modifier les droits des fichiers de configuration
adresses preacutedeacutefinies Mais la preacutesence drsquoun serveur SMTP est indispensable
Nous utiliserons le tregraves ceacutelegravebre postfix afin de reacutepon-dre agrave nos besoins en la matiegravere (cf Figure 1)
Son installation sera ici tregraves basique nrsquoincluant pas toutes les eacutetapes de configuration drsquooptimisation et de seacutecuriteacute normalement neacutecessaires
Pour lrsquoinstallation voici la commande agrave lancer nocrash~ aptitude install -y postfix mailx
Pour le type drsquoutilisation dont nous avons besoin et pour plus de commoditeacute au niveau des configurations nous choisirons Site Internet
installation drsquoune base de donneacutees MySqLDurant nos installations de nombreux logiciels devront stocker une tregraves grande quantiteacute de donneacutees en rapport
Listing 1 Installation des preacute-requis
nocrash~ aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils
qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfig-
inifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl
libnet-snmp-perl gettext locales
Listing 2 Installation de SSHGuard
nocrash~ cd var
nocrash~ wget httpdownloadssourceforgenetprojectsshguardsshguardsshguard-14sshguard-14tarbz2
nocrash~ bzip2 -d sshguard-14tarbz2
nocrash~ tar -xf sshguard-14tar
nocrash~ rm -rf sshguard-14tar
nocrash~ mv sshguard sshguard
nocrash~ cd sshguard
nocrash~configure --with-firewall=iptables
nocrash~ make ampamp make install
Listing 3 Mise en place des fichiers de configuration Nagios
nocrash~ mv etcnagios3 etcnagios3orig
nocrash~ mkdir etcnagios3
nocrash~ cp -Rt etcnagios3 etcnagios3orignagioscfg etcnagios3origapache2conf etcnagios3orig
stylesheets
nocrash~ chown nagioswww-data etcnagios3
nocrash~ chmod ug+w etcnagios3
Listing 4 Installation de Centreon
nocrash~ cd usrsrc
nocrash~ wget httpdownloadcentreoncomcentreoncentreon-211targz
nocrash~ tar xzf centreon-211targz
nocrash~ rm -rf centreon-211targz
nocrash~ cd centreon-211
nocrash~installsh -i
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201030
Pratique
nocrash~ chown -R root etcmysql
nocrash~ chmod 740 etcmysqlmycnf
MySQL est eacutegalement livreacutee avec un script de seacutecuri-sation de la base de donneacutees nommeacute mysql _ secure _
installation qursquoil est vivement conseilleacute drsquoexeacutecuter
nocrash~ mysql_secure_installation
Seacutecurisation du serveur SSHPour permettre les communications avec la machine distante il est neacutecessaire de mettre en place un ser-veur SSH permettant une communication chiffreacutee entre le client et le serveur
nocrash~ aptitude install -y ssh
Une fois le serveur SSH correctement installeacute il convient drsquoapporter quelques modifications dans son principal fi-chier de configuration le fichier etcsshsshd_config
bull LoginGraceTime 120 devient LoginGraceTime 30 La directive LoginGraceTime indique en secondes la dureacutee entre la connexion au serveur drsquoun client et sa deacuteconnexion lorsque le client ne srsquoest pas authentifieacute
bull PermitRootLogin yes devient PermitRootLogin no La directive PermitRootLogin placeacutee agrave no interdit
agrave lrsquoadministrateur principal (root) de se connec-ter directement agrave la machine distante Crsquoest une mesure de seacutecuriteacute agrave mettre obligatoirement en place SI un accegraves root tombe entre de mauvai-ses mains les conseacutequences pourraient ecirctre ter-ribles
bull X11Forwarding yes devient X11Forwarding no La directive X11Forwarding placeacutee agrave no interdit lrsquoutili-sation agrave distance de lrsquointerface graphique preacutesente sur le serveur
De plus nous ajouterons la directive suivante agrave la fin du fichier AllowTcpForwarding no
nocrash~ echo AllowTcpForwarding no gtgt sshd_confi g
Lrsquoinstallation de Molly Guard est une excellente chose En effet il peut facilement nous arriver de confondre deux terminaux sur notre machine Molly Guard de-mandera donc le nom de la machine afin de confirmer son arrecirct ou son redeacutemarrage
nocrash~ aptitude install -y molly-guard
Pour eacuteviter des attaques par dictionnaire ou par bru-teforce contre le protocole SSH et destineacutees agrave trou-ver le mot de passe il est preacutefeacuterable dinstaller un anti-bruteforceur au lieu de bloquer complegravetement le proto-cole SSH Cet outil se nomme Denyhosts Denyhosts est un logiciel tournant en arriegravere-plan analysant conti-nuellement le fichier de log varlogauthlog et qui au bout de plusieurs vaines tentatives (selon la configura-tion) de connexions blackliste lIP en cause dans le fi-chier etchostsdeny
Voici commencer installer Denyhosts simplement
nocrash~ aptitude install -y denyhosts
Modifier la configuration par deacutefaut neacutecessite leacutedition du fichier de configuration principal de Denyhosts etcdenyhostsconf
Il est possible de coupler Denyhosts avec SSHGuard SSHGuard eacuteditera les regravegles du firewall agrave la voleacutee afin drsquoaccepter ou non les hocirctes (voir Listing 2) Lrsquoensemble des configurations sera pris en compte apregraves le redeacute-marrage du serveur SSH
nocrash~ etcinitdssh restart
installation du serveur webPour pouvoir profiter de lrsquointerface graphique de Na-gios il est impeacuteratif de mettre en place un serveur web Nous avons opteacute pour un serveur Apache Apache est le serveur HTTP le plus populaire du Web et il srsquoagit drsquoun logiciel entiegraverement libre
Apache sinstalle gracircce agrave cette commande Figure 2 Choix du mot de passe MySQL
Figure 1 Confi guration de Postfi x
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 31
nocrash~ aptitude install -y apache2 libapache2-mod-gnutls
openssl
Le site nous preacutesentant Nagios nrsquoeacutetant pas un site sta-tique il nous est neacutecessaire de mettre eacutegalement en place lrsquoensemble des librairies PHP5 pour une inter-preacutetation correcte des pages
nocrash~ aptitude install -y php5 php5-gd php5-mysql
libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear
apache2-threaded-dev
Afin drsquoeacuteviter lrsquoerreur suivante
Restarting web server apache2apache2 Could not
reliably determine the servers
fully qualifi ed domain name using 127011 for
ServerName
waiting apache2 Could not reliably determine the
servers fully qualifi ed
domain name using 127011 for ServerName
Lorsque vous redeacutemarrez votre serveur Apache nom-mez votre serveur de la maniegravere suivante
nocrash~ echo ServerName 127001 gtgt etcapache2apache2
conf
Par deacutefaut la librairie MySQL nrsquoest pas activeacutee il est neacutecessaire de lrsquoactiver pour eacuteviter tout bug
nocrash~ echo extension=mysqlso gtgt etcphp5apache2phpini
XCache acceacutelegravere la vitesse du site lors de son afficha-ge il srsquoinstalle tregraves simplement
nocrash~ aptitude install -y php5-xcache
Puis afin que lrsquoensemble des configurations soit prit en compte il est neacutecessaire de redeacutemarrer le serveur web et la base de donneacutees
nocrash~ etcinitdapache2 restart
ncrash~ etcinitdmysql restart
Figure 4 Confi guration de Centreon
Figure 3 Confi guration de Ndoutils pour Nagios
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201032
Pratique
Listing 5a Choix des fichiers de configuration Centreon
Press Enter to read the Centreon License then type
y to accept it
Do you want to install Centreon Web Front
[yn] default to [n] y
Do you want to install Centreon CentCore
[yn] default to [n] y
Do you want to install Centreon Nagios Plugins
[yn] default to [n] y
Do you want to install Centreon Snmp Traps process
[yn] default to [n] y
Where is your Centreon directory
default to [usrlocalcentreon] usrlocalcentreon
Do you want me to create this directory [usrlocal
centreon]
[yn] default to [n] y
Where is your Centreon log directory
default to [usrlocalcentreonlog] usrlocal
centreonlog
Do you want me to create this directory [usrlocal
centreonlog]
[yn] default to [n] y
Where is your Centreon etc directory
default to [etccentreon] etccentreon
Do you want me to create this directory [etc
centreon]
[yn] default to [n] y
Where is your Centreon generation_files directory
default to [usrlocalcentreon] usrlocalcentreon
Where is your Centreon variable library directory
default to [varlibcentreon] varlibcentreon
Do you want me to create this directory [varlib
centreon]
[yn] default to [n] y
Where is your CentPlugins Traps binary
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to create this directory [usrlocal
centreonbin]
[yn] default to [n] y
Where is the RRD perl module installed [RRDspm]
default to [usrlibperl5RRDspm] usrlibperl5
RRDspm
Where is PEAR [PEARphp]
default to [usrsharephpPEARphp] usrsharephp
PEARphp
Where is installed Nagios
default to [usrlocalnagios] usrlibcgi-bin
nagios3
Where is your nagios config directory
default to [usrlocalnagiosetc] etcnagios3
Where is your Nagios var directory
default to [usrlocalnagiosvar] varlibnagios3
Where is your Nagios plugins (libexec) directory
default to [usrlocalnagioslibexec] usrlib
nagiosplugins
Where is your Nagios image directory
default to [usrlocalnagiosshareimageslogos]
usrsharenagioshtdocsimages
logos
Where is your NDO ndomod binary
default to [usrsbinndomodo] usrlibndoutils
ndomod-mysql-3xo
Where is sudo configuration file
default to [etcsudoers] etcsudoers
Do you want me to configure your sudo (WARNING)
[yn] default to [n] y
Do you want to add Centreon Apache sub configuration
file
[yn] default to [n] y
Do you want to reload your Apache
[yn] default to [n] y
Do you want me to installupgrade your PEAR modules
[yn] default to [y] y
Where is your Centreon Run Dir directory
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 33
Nagios le centre du moteur de supervisionAujourdhui les reacuteseaux informatiques sont absolument partout Ils sont devenus indispensables au bon fonc-tionnement geacuteneacuteral de nombreuses entreprises et administrations Tout problegraveme ou panne risque davoir de lourdes conseacutequences tant financiegraveres qursquoorgani-sationnelles La supervision des reacuteseaux est alors neacute-cessaire et indispensable Elle permet entre autres drsquoavoir une vue globale du fonctionnement et des pro-blegravemes susceptibles de survenir sur un reacuteseau mais aussi drsquoavoir des indicateurs sur la performance de son architecture De nombreux logiciels libres ou pro-prieacutetaires existent sur le marcheacute La plupart srsquoappuie sur le protocole SNMP
Nous avons choisi drsquoinstaller lrsquoun des logiciels les plus connus en matiegravere de supervision de reacuteseau informati-que Nagios Nagios (anciennement appeleacute Netsaint) est un logiciel libre sous licence GPL permettant la sur-veillance des systegravemes et reacuteseaux Il surveille les hocirctes et services speacutecifieacutes alertant lorsque les systegravemes vont mal et quand ils vont mieux
installation des preacute-requis pour NagiosRRDTool est un logiciel libre distribueacute sous licence GPL utiliseacute pour la sauvegarde de donneacutees cycliques et le traceacute de graphiques Cet outil a eacuteteacute creacuteeacute pour supervi-ser des donneacutees serveur telles que la bande passante la tempeacuterature dun processeur etc
nocrash~ aptitude install -y rrdtool librrds-perl
installation de NagiosLes preacute-requis eacutetant maintenant preacutesents installons Nagios le moteur de supervision
Figure 6 Fin de lrsquoinstallation avec succegraves
Figure 5 Confi guration de lrsquoadminstrateur Centreon
Listing 5b Choix des fi chiers de confi guration Centreon
default to [varruncentreon] varruncentreon
Do you want me to create this directory [varrun
centreon]
[yn] default to [n] y
Where is your CentStorage binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Where is your CentStorage RRD directory
default to [varlibcentreon] varlibcentreon
Do you want me to install CentStorage init script
[yn] default to [n] y
Do you want me to install CentStorage run level
[yn] default to [n] y
Where is your CentCore binary directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
Do you want me to install CentCore init script
[yn] default to [n] y
Do you want me to install CentCore run level
[yn] default to [n] y
Where is your CentPlugins lib directory
default to [varlibcentreoncentplugins] varlib
centreoncentplugins
Do you want me to create this directory [varlib
centreoncentplugins]
[yn] default to [n] y
Where is your SNMP confi guration directory
default to [etcsnmp] etcsnmp
Where is your SNMPTT binaries directory
default to [usrlocalcentreonbin] usrlocal
centreonbin
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201034
Pratique
nocrash~ aptitude install -y nagios3 nagios-nrpe-plugin
ndoutils-nagios3-mysql
Lrsquoinstallation de Nagios gracircce agrave la commande apt-get install a eacutegalement creacuteeacute un utilisateur un groupe nommeacutes nagios (cf Figure 3)
Puisque Centreon utilisera sa propre structure concer-nant les fichiers de configuration de Nagios il est neacuteces-saire de les sauvegarder comme repreacutesenteacute au Listing 3
Linterface web de CentreonCentreon est un logiciel de surveillance et de supervi-sion reacuteseau fondeacute sur le moteur de reacutecupeacuteration din-formation libre Nagios Centreon fournit une interface simplifieacutee en apparence pour rendre la consultation de leacutetat du systegraveme accessible agrave un plus grand nombre dutilisateurs y compris des non-techniciens notam-ment agrave laide de graphiques En effet lrsquoensemble des configurations sous Nagios doivent inteacutegralement se faire agrave travers les diffeacuterents fichiers que propose Na-gios Lrsquoinstallation de Centreon permettra donc une pri-se en main plus facile de la supervision de lrsquoensemble de nos reacuteseaux
installation de CentreonLrsquoinstallation de Centreon se fait directement par les sources preacutesenteacute dans le Listing 4
De nombreuses questions seront poseacutees lors de lrsquoins-tallation il est neacutecessaire de choisir les bons fichiers de configuration afin que lrsquoinstallation de Centreon col-le avec notre Nagios deacutejagrave installeacute (cf Figure 4 5 et 6) Attention les valeurs en rouge correspondent aux va-leurs diffeacuterentes de celles par deacutefaut
installation de Centreon via lrsquointerface graphiqueLrsquoinstallation de Centreon srsquoeacutetant bien deacuterouleacutee occu-pons-nous de sa configuration elle se reacutealise gracircce au navigateur web et agrave cette adresse
La configuration de Centreon de deacuteroule en 12 eacuteta-pes
bull Etape 112 Il ne srsquoagit que drsquoune phase de bienve-nue cliquez sur Start
bull Etape 212 Acceptez la licence et cliquez sur Nextbull Etape 312 Veacuterifiez que la version de Nagios est ef-
fectivement 3X puis cliquez sur Nextbull Etape 412 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 512 Veacuterifiez que tout est agrave OK (eacutecrit en vert)
puis cliquez sur Nextbull Etape 612 Cette eacutetape correspond agrave la configura-
tion de la base de donneacutees Dans Root password for MySQL renseignez le mot de passe de la base de donneacutees puis celui de la base de donneacutees ndo Laissez les autres paramegravetres agrave leurs valeurs par deacutefaut puis cliquez sur Next
bull Etape 712 Si vous avez speacutecifieacute le bon mot de pas-se pour la base de donneacutees et que celle-ci est bien deacutetecteacutee il nrsquoy a rien agrave faire agrave cette eacutetape Cliquez sur Next
bull Etape 812 Speacutecifiez ici le nom drsquoutilisateur et le mot de passe de lrsquoadministrateur de Centreon (utili-sateur avec lequel nous allons nous connecter) puis cliquez sur Next
bull Etape 912 Lrsquoactivation de lrsquoauthentification LDAP nrsquoest pas neacutecessaire Laissez les choix par deacutefaut et cliquez sur Next
bull Etape 1012 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
Figure 8 Confi guration Centreon (partie 1)
Figure 7 Identifi cation de Centreon
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Supervisez votre reacuteseau gracircce agrave Nagios
hakin9orgfr 35
bull Etape 1112 Veacuterifiez que tout est agrave OK (eacutecrit en vert) puis cliquez sur Next
bull Etape 1212 Lrsquoinstallation est agrave preacutesent termineacutee il est neacutecessaire de cliquer sur Click here to comple-te your install afin de terminer lrsquoinstallation et drsquoecirctre redirigeacute vers la page drsquoauthentification (cf Figure 7) Il est agrave preacutesent possible de se connecter avec les valeurs renseigneacutees agrave lrsquoeacutetape 8
Configuration de CentreonAvant de proceacuteder agrave la configuration de Centreon pour quil corresponde exactement aux paramegravetres de Na-gios activez Ndoutils en modifiant son fichier de confi-guration etcdefaultndoutils et en remplaccedilant ENABLE_NDOUTILS=0 par ENABLE_NDOUTILS=1
nocrash~ cat etcdefaultndoutils | grep ENABLE_NDOUTILS
ENABLE_NDOUTILS =1
Une fois cette modification faite acceacutedez agrave Centreon () pour y apporter les modifications montreacutees ci-des-sous (cf Figure 8 9 10 11 et 12)
Allez dans Configuration -gt Nagios -gt cgi (menu agrave gauche) puis cliquez sur CGIcfg
Degraves lors modifiez les valeurs suivantes
bull Physical HTML Path usrsharenagios3htdocsbull - URL HTML Path nagios3bull - Nagios Process Check Commandbull usrlibnagiospluginscheck _ nagios varcache
nagios3statusdat 5 usrsbinnagios3
Figure 10 Confi guration Centreon (partie 3)
Figure 9 Confi guration Centreon (partie 2)
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201036
Pratique
Puis cliquez sur Save Allez dans Configuration -gt Na-gios -gt nagioscfg (menu agrave gauche) puis cliquez sur Na-gios CFG 1 Maintenant modifiez les valeurs suivantes
bull Log File varlognagios3nagioslogbull - Downtime File varlibnagios3downtimedat
bull - Comment File varlibnagios3commentdatbull - Temp File varcachenagios3nagiostmpbull - P1 File usrlibnagios3p1plbull - Lock File varrunnagios3nagios3pid bull - Object Cache File varcachenagios3objects
cachebull - Status File varcachenagios3statusdatbull - External Command File varlibnagios3rwna-
gioscmd
Cliquez agrave preacutesent sur lrsquoonglet Log Options et modifiez les valeurs suivantes
bull Log Archive Path varlognagios3archivesbull - State Retention File varlibnagios3retentiondat
Puis cliquez sur Save Allez dans Administration -gt Options -gt CentStorage (Menu agrave gauche) et modifiez cette valeur
bull - Nagios current log file to parse varlognagios3nagioslog
Allez agrave preacutesent dans Configuration -gt Nagios et co-chez les cases Generate Configuration Files Run Na-gios debug (-v) Move Export Files Include Comments et Restart Nagios puis seacutelectionnez External command dans Method et cliquez sur Export
Lrsquoensemble des configurations Centreon srsquoexporte dans Nagios
lrsquoexportation srsquoest correctement deacuterouleacutee Il est agrave preacute-sent possible de terminer la configuration de Nagios
Figure 12 Confi guration Centreon (partie 5)
Figure 11 Confi guration Centreon (partie 4)
Figure 13 Export des confi gurations Nagios vers Centreon
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
hakin9orgfr
Finalisons lrsquoinstallation de NagiosA preacutesent que toutes les installations sont faites peau-finons les deacutetails afin de permettre agrave lrsquoutilisateur final drsquoacceacuteder agrave lrsquointerface de Nagios
Pour cela nous allons modifier lrsquoutilisateur nagios afin qursquoil heacuterite drsquoun shell valide
nocrash~ usermod -s binsh nagios
Dans un deuxiegraveme temps octroyons des droits agrave lrsquoap-plication afin drsquoenvoyer des commandes externes
nocrash~ invoke-rcd nagios3 stop
nocrash~ dpkg-statoverride --update --add nagios www-
data 2710 varlibnagios3rw
nocrash~ dpkg-statoverride --update --add nagios nagios
751 varlibnagios3
Dans un troisiegraveme temps il est neacutecessaire de creacuteer un compte pour lrsquoutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible agrave nimporte qui
nocrash~ htpasswd -bc etcnagios3htpasswdusers
nagiosadmin ltMot_de_Passegt
Enfin nous autorisons le protocole SNMP en lecture seule (read only)
nocrash~ echo rocommunity public gt etcsnmpsnmpd
conf
Il est agrave preacutesent possible drsquoacceacuteder agrave lrsquointerface de Na-gios par cette adresse
En conclusion la mise en place drsquoune supervision de tout un parc informatique nrsquoest pas une mince affaire Il est neacutecessaire de srsquoarmer drsquoune grande deacutetermination et de patience pour avoir un centre de supervision impec-cable Le trio NagiosCentreonCacti est un trio connu et reconnu pour son bon fonctionnement Vous trouverez la suite de lrsquoarticle dans la II egraveme partie le logiciel Cacti
Figure 14 Interface principale de Nagios
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute informatique drsquoun point de vue entreprise Il soriente actuellement vers les cer-ti cations O ensive Security et CEH Contact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201038
Pratique
Pour que les utilisateurs les moins informaticiens comprennent facilement les donneacutees qui appa-raissent dans Nagios rien ne vaut des graphi-
ques simples et compreacutehensifsIl est vrai que Centreon dispose de certains graphi-
ques mais il nrsquoest pas recommandeacute de donner agrave lrsquoen-semble des utilisateurs un accegraves agrave Centreon qui est la partie administrative de Nagios
Pour cette raison nous avons deacutecideacute drsquoinstaller Cac-ti Cacti est un logiciel libre de supervision fondeacute sur la puissance de stockage de donneacutees de RRDTool Il fonctionne gracircce agrave un serveur web eacutequipeacute dune ba-se de donneacutees et du langage PHP Il permet de repreacute-senter graphiquement divers statuts de peacuteripheacuteriques reacuteseau utilisant SNMP ou encore gracircce agrave des scripts pour avoir par exemple lespace disque restant ou la meacutemoire utiliseacutee la charge processeur ou le ping dun eacuteleacutement actif
installation et configuration de CactiConcernant lrsquoinstallation de Cacti nous allons simple-ment installer le paquet cacti-cactid gracircce au gestion-naire de paquets propre agrave Debian
nocrash~ aptitude install -y cacti-cactid
Durant lrsquoinstallation nous avons la possibiliteacute de confi-gurer automatiquement la base de donneacutees nous al-lons donc choisir cette option (cf Figure 1)
Il faut ensuite preacuteciser le mot de passe de lrsquoadminis-trateur de la base de donneacutees et donner un mot de pas-se pour lrsquoutilisateur Cacti nouvellement creacuteeacute
Nous avons installeacute un serveur web tournant sous Apache 2 Il convient de le preacuteciser et mecircme de seacutelec-tionner Tous si vous avez coupleacute Apache2 agrave SSL
Comme le reacutevegravele lrsquoeacutecran suivant il est neacutecessaire de se connecter agrave lrsquointerface web de Cacti pour configurer le programme de reacutecupeacuteration de donneacutees (le poller)
Cacti sappuie sur SNMP qui doit ecirctre configureacute sur lrsquoensemble des machines qursquoelles tournent sous un systegraveme drsquoexploitation Windows Linux ou Cisco (cf Fi-gure 2)
Lors du choix de lrsquoinstallation choisissez New Install (cf Figure 3)
Sur la page suivante veacuterifiez que lrsquoensemble des veacute-rifications a eacuteteacute passeacute (tout en vert)
Une fois toutes les veacuterifications effectueacutees connec-tez-vous agrave Cacti avec les identifiants adminadmin (cf Figure 4 et 5)
Vous voici donc maintenant connecteacute agrave Cacti dont linterface principale est repreacutesenteacutee agrave la Figure 6
Comme indiqueacute preacuteceacutedemment il convient de modi-fier le programme de reacutecupeacuteration de donneacutees allez dans Setting (Menu agrave gauche) puis dans lrsquoonglet Pol-ler et seacutelectionnez spine comme type de poller (Poller type) Consultez la Figur e 7
Cacti est donc agrave preacutesent en place Il est neacutecessaire drsquoattendre un peu pour voir les premiers reacutesultats
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
Cet article constitue la IIegraveme partie de lrsquoarticle deacutedieacute a la supervision du reacuteseau gracircce agrave Nagios Dans cette partie nous allons nous concentrer sur le logiciel Cacti Apregraves la supervision des machines Windows nous allons voir eacutegalement celle des machines GNULinux
Cet article expliquebull Ce qursquoest Cactibull Comment mettre en place un bon outil de supervision
Ce quil faut savoirbull Connaissance en systegraveme drsquoexploitation Linux et les bases des
reacuteseaux
regis Senet
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 39
cactiplugcactiplugphpip=$HOSTADDRESS dans la rubrique define hostToutes vos modifications eacutetant faites redeacute-marrez Nagios
nocrash~ etcinitdnagios3 restart
Cliquer sur la petite eacutetoile agrave coteacute du nom drsquohocircte don-ne directement accegraves agrave lrsquointerface Cacti de lrsquohocircteseacutelec-tionneacute (cf Figure 8)
Configuration des clientsLors de la supervision de parcs informatiques les clients les plus reacutecurrents sont les machines tournant sous des systegravemes drsquoexploitation Win-dows GNULinux ainsi que les eacutequipements Cisco Les trois types de machines (Windows GNULinux et Cisco) peuvent ecirctre superviseacutes via le protocole SNMP
(Simple Network Management Protocol) mais nous al-lons vous preacutesenter ici une maniegravere speacutecifique aux trois types de machines
Clients sous WindowsPour superviser les machines tournant sous des sys-tegravemes drsquoexploitation Microsoft installez dans un
inteacutegration de Cacti dans lrsquointerface NagiosPour ne pas avoir agrave jongler entre plusieurs interfaces graphiques (Nagios Centron Cacti) nous allons in-teacutegrer lrsquointerface Cacti directement dans celle de Na-gios
Un petit module a eacuteteacute deacuteveloppeacute par des inter-nautes afin de simplifier la tacircche Ce module eacutetant tregraves pratique nous allons donc lrsquointeacutegrer dans notre projet
nocrash~ wget httpwwwnicolargocomdevcactiplug
cactiplug-02tgz
nocrash~ tar xzf cactiplug-02tgz
nocrash~ rm -rf cactiplug-02tgz
nocrash~ mv cactiplug varwww
Il est neacutecessaire de reacutealiser quelques petites modifi-cations dans le script cactiplugphp agrave preacutesent disponi-ble agrave lrsquoadresse suivante varwwwcactiplugcactiplugphpAgrave savoir remplacez
$cactiurl = httplocalhostcacti par $cactiurl = http
ltvotre_IPgtcacti
$database_username = laquo cactiadmin raquo par $database_username =
laquo cacti raquo
$database_username = laquo cactipassword raquo par $database_
username = laquo ltVOTRE PASS gtraquo
Configurez le lien entre les deux interfaces graphiques comme une commande eacuteditez le fichier etcnagios3hostTemplatescfg pour y ajouter la ligne action _ url
Figure 2 Ecran drsquoinformation Cacti
Figure 1 Configuration de Cacti
Figure 4 Parameacutetrage de Cacti
Figure 3 Deacutemarrage drsquoune nouvelle installation Cacti
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201040
Pratique
premier temps le logiciel NSClient++ NSClient++ sappuie sur une architecture clientserveur La par-tie cliente (nommeacutee check_nt) doit ecirctre disponible sur le serveur Nagios La partie serveur (NSClient++) est agrave installer sur chacune des machines Windows agrave surveiller Voici un petit scheacutema reacutesumant le tout (cf Figure 9)
La derniegravere version de NSClient++ est teacuteleacutechargea-ble depuis le site officiel agrave lrsquoadresse suivante httpsourceforgenetprojectsnscplus
Lors de lrsquoinstallation vous verrez apparaicirctre cette fe-necirctre vous permettant drsquoindiquer un mot de passe pour permettre la transmission des informations ainsi que lrsquohocircte serveur (cf Figure 10)
Une fois teacuteleacutechargeacute et installeacute modifiez le fichier de configuration afin que la machine Windows puisse com-muniquer avec le serveur de supervision eacuteditez le fi-chier CProgram FilesNSClient++NSCini
Dans ce dernier vous deacutecommenterez cest-agrave-dire enlegraveverez le devant les lignes suivantes
bull FileLoggerdllbull CheckSystemdll
bull CheckDiskdllbull NSClientListenerdllbull NRPEListenerdllbull SysTraydllbull CheckEventLogdllbull CheckHelpersdllbull CheckExternalScriptsdllbull NSCAAgentdllbull LUAScriptdllbull NRPEClientdllbull CheckTaskScheddll
Dans ce mecircme fichier la directive password est cen-seacutee ecirctre renseigneacutee par mypassword_access (rem-pli preacuteceacutedemment) obligeant ainsi la partie cliente et la partie serveur agrave partager un secret renforccedilant ainsi le niveau de seacutecuriteacute
La derniegravere directive agrave laquelle il est neacutecessaire de precircter attention est la directive allowed hosts Cette derniegravere permet de speacutecifier les hocirctes autoriseacutes agrave com-muniquer avec la machine Il est bien eacutevidemment neacute-cessaire drsquoy renseigner lrsquoadresse IP du serveur de su-pervision ougrave est installeacute Nagios sinon la communication clientserveur sera impossible
Toutes les configurations sont faites il est temps de tester la connectiviteacute sur la machine comportant le ser-veur Nagios exeacutecutez la commande suivante
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H ltIP_WINDOWSgt -v CLIENTVERSION -p 12489
-s ltmot de passegt
Lrsquooption -p permet de speacutecifier le port sur lequel eacutecou-te NSClient sur la machine Windows (12489 est le port par deacutefaut) Si tout se passe bien la version de NS-Client doit vous ecirctre retourneacutee
Figure 6 Interface principale de Cacti
Figure 5 Interface drsquoadministration Cacti
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 41
nocrash~ cd usrlibnagiosplugins
nocrash~ check_nt -H 19216801 -v CLIENTVERSION -p
12489 -s mypassword_access
NSClient++ 037493 2009-10-12
Ensuite remplacez lrsquooption CLIENTVERSION par UPTIME CPULOAD MEMUSE ou encore USEDDISKSPACE donnant respec-tivement le temps depuis lequel la machine est allu-meacutee la charge processeur lrsquoeacutetat de la meacutemoire et lrsquoes-pace disque utiliseacute
Clients sous GNuLinuxApregraves la supervision des machines Windows voyons celle des machines GNULinux Comme nous lavons indiqueacute preacuteceacutedemment il est possible de geacuterer la supervision gracircce au protocole SNMP mais nous al-lons plutocirct deacutetailler une autre technique le plugin NRPE
Un peu comme sous Windows (NSClient++check_nt) le plugin NRPE permet lrsquoexeacutecution de plugins dits actifs directement sur les machines agrave surveiller (cf Fi-gure 11)
Avant de commencer lrsquoinstallation des plugins NRPE il faut proceacuteder agrave quelques installations preacutealables sur le systegraveme drsquoexploitation
nocrash~ aptitude install -y chkconfig make gcc
A preacutesent nous pouvons installer les plugins permet-tant de faire fonctionner NRPE
nocrash~ aptitude install -y nagios-nrpe-server nagios-nrpe-
plugin nagios-plugins
Nous allons maintenant installer la derniegravere version des plugins pour Nagios via les sources du Listing 6
Certains plugins comme celui pour reacutecupeacuterer lrsquoeacutetat de la meacutemoire (check_memorypl) ne sont pas dispo-nibles par deacutefaut il est neacutecessaire de les teacuteleacutecharger (voir Listing 7)
Le client et le serveur NRPE communiquent via le port TCP numeacutero 5666 Si vous avez des restrictions via un firewall sur vos machines clientes il est neacuteces-saire drsquoautoriser le port TCP 5666
Avec un firewall entiegraverement fondeacutesur iptables il est neacutecessaire de lancer cette commande
nocrash~ iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT
A preacutesent modifions le fichier de configuration etcnagiosnrpecfg afin de parameacutetrer la communication clientserveur les commandes etc
Il est impeacuteratif de modifier la directive allowed_hosts = 127001 de la mecircme maniegravere que sous la machine Windows cest-agrave-dire en remplaccedilant 127001 par lrsquoadresse IP du serveur de supervision Nagios
Ensuite il est possible drsquoajouter modifier supprimer des commandes en respectant les syntaxes deacutejagrave preacute-sentes
Nous voyons de nombreuses lignes commenccedilant par command[check_] = raquo De cette maniegravere nous aurons donc accegraves agrave la commande geacuterant la meacutemoire gracircce agrave check_mem en option de check_nrpe
Fichier de configuration sur la machine cliente 192168045
[hellip]
command[check_mem]=usrlibnagiospluginscheck_memory
pl -w 30 -c 15
[hellip]
Commande agrave lancer sur le serveur de supervision
Figure 8 Inteacutegration de Cacti dans Nagios
Figure 7 Changement du programme de chargement de donneacutees
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201042
Pratique
nocrash~ check_nrpe -H ltAdresse_IPgt -c check_mem
equipements CiscoDans les reacuteseaux drsquoentreprises assez importantes il est tregraves freacutequent de trouver des routeurs ou des Switch Cisco La supervision de routeur et de Switch est reacuteellement im-portante car derriegravere ces eacutequipements se trouvent parfois plusieurs machines clientes et plusieurs serveurs
Ce dont nous avons besoin pour activer le SNMP de maniegravere basique (voir Listing 8)
Et cest tout car nous nutilisons pas les traps SNMP des eacuteleacutements Dans le cas contraire il faut parameacutetrer
les traps avec la commande snmp-server enable traps comme dans le Listing 9 Puis il est neacutecessaire de configurer les ACL (voir Listing 10)
installation de nouvelles languesPar deacutefaut Nagios et Centreon sont fournis dans la lan-gue de Shakespeare Les anglophobes peuvent modi-fier la langue de leur utilisateur Centreon Malheureu-sement il nrsquoest pour lrsquoinstant pas possible de faire la modification pour Nagios
Pour profiter de lrsquointerface administrative de Cen-treon en Franccedilais il est neacutecessaire de suivre les eacutetapes
Figure 10 Parameacutetrage de NSClient
Figure 9 Scheacutema de communication NSClient
Monitoring Server
Naigos check_nt NSClient++
Windows Machine
CPU
Memory
Disk Space
Processes
Services
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 43
suivantes Commencez par lrsquoinstallation des preacute-requis systegraveme
nocrash~ aptitude install -y install gettext locales
Ensuite creacuteez un reacutepertoire fr_FRUTF-8 dans le reacute-pertoire wwwlocale de Centreon Creacuteez ensuite un second reacutepertoire LC_MESSAGES dans ce mecircme reacute-pertoire
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8
nocrash~ mkdir usrlocalcentreonwwwlocalefr_
FRUTF-8LC_MESSAGES
nocrash~ cd usrlocalcentreonwwwlocalefr_FRUTF-8LC_
MESSAGES
Puis teacuteleacutechargez et compilez le fichier de traduction
nocrash~ wget httptranslationsmodulescentreoncomsvntrunk
centreonfr_FRLC_MESSAGESmessagespo
nocrash~ msgfmt messagespo -o usrlocalcentreonwwwlocale
fr_FRUTF-8LC_MESSAGESmessagesmo
nocrash~ chown -R www-datawww-data usrlocalcentreonwww
localefr_FRUTF-8
Enfin redeacutemarrez votre serveur Apache
nocrash~ etcinitdapache2 restart
Pour terminer vous devez configurer votre compte uti-lisateur afin dutiliser le fichier de traduction adeacutequat Configuration gt Users gt mon_utilisateur Seacutelectionnez fr_FRUTF-8 cliquez sur Save et votre interface sera agrave preacutesent en franccedilais (cf Figure 12)
Nagios et la notification par twitterTwitter est un outil de reacuteseau social et de microblog-ging qui permet agrave lrsquoutilisateur drsquoenvoyer gratuitement des messages brefs appeleacutes tweets par Internet par messagerie instantaneacutee ou par SMS Twitter est donc un formidable outil de veille Nous allons donc voir com-ment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13)
Avant toute chose il est neacutecessaire de creacuteer un comp-te Twitter deacutedieacute agrave ce besoin car crsquoest vers lui que toutes les alertes seront envoyeacutees Il suffira ensuite aux admi-nistrateurs de suivre ce compte Twitter pour ecirctre informeacute au plus vite des anomalies survenues sur le reacuteseau
Pour creacuteer un compte allez sur httpstwittercomsignupcommit=Join et remplissez le petit formulaire drsquoinscription
Il faut bien retenir votre nom drsquoutilisateur (nagios_no-crash) et votre mot de passe pour la suite Rendez-vous dans les Paramegravetres et cliquez sur le bouton Proteacuteger mes tweets pour forcer lrsquoapprobation des utilisateurs autoriseacutes agrave suivre ce compte Twitter Quand un des ad-ministrateurs fera une demande pour suivre ce compte Twitter il faudra lrsquoapprouver
Avant de vous lancer dans les tests il est neacutecessaire de commencer par lrsquoinstallation des preacute-requis systegrave-me tout dabord curl
nocrash~ aptitude install -y curl
Nous pouvons faire notre petit test et ainsi veacuterifier la com-munication entre notre serveur de supervision et Twitter
nocrash~ curl --connect-timeout 30 --max-time 60
-u nagios_nocrashltmon_passwordgt
-d status=rdquoPetit test via Nagiosrdquo
Figure 12 Choix des langues sous Centreon
Figure 11 Scheacutema de communication NRPE
Monitoring Host
Naigos check_nt NRPE
Remote LinuxUnix Host
check_disk
check_load
check_http
check_ftp
SSL
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201044
Pratique
httptwittercomstatusesupdate
xml
Si tout se passe bien vous devriez avoir reccedilu une notifica-tion Twitter (cf Figure 14) sur le compte nagios_nocrash
Pour creacuteer les commandes ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cliquez sur ajouter Tout est correct agrave preacutesent et vous pourrez beacuteneacuteficier des notifications gracircce agrave Twitter (cf Figure 15)
Nagios et la notification via SMSDepuis le deacutebut de cet article nous voyons lrsquoenvoi de notification Nagios par mail ou encore sur internet gracircce
agrave Twitter Un administrateur reacuteseau aussi bon soit-il ne passe pas toute sa journeacutee derriegravere un eacutecran Il est donc possible de trouver drsquoautres moyens afin que lrsquoadminis-trateur soit constamment informeacute Pour cela nous allons passer par les reacuteseaux teacuteleacutephoniques et les SMS
Un SMS (Short Message Service) est utiliseacute pour transmettre de courts messages textuels Il est donc possible drsquoutiliser cette technique pour avertir les admi-nistrateurs absents de leur lieu de travail et nrsquoeacutetant pas forceacutement derriegravere un ordinateur
Il serait de bon ton de deacutefinir des peacuteriodes de temps pour lrsquoenvoi de SMS
Il existe des solutions cleacute en main proposeacutees par la plupart des opeacuterateurs de teacuteleacutephonie mobile Mais ces
Listing 6 Installation des plugins Nagios
nocrash~ cd usrsrc
nocrash~ wget httpdownloadssourceforge
netprojectnagiosplug
nagiosplug1414nagios-plugins-
1414targzuse_mirror=garr
nocrash~ tar xzf nagios-plugins-1414targz
nocrash~ rm -rf nagios-plugins-1414targz
nocrash~configure --enable-extra-opts --with-perl
--enable-perl-modules
nocrash~ make ampamp make install
nocrash~ cpan NagiosPlugin
nocrash~ perl -MCPAN -e install NagiosPlugin
Listing 7 Reacutecupeacuteration du script check_memory
nocrash~ cd usrlibnagiosplugins
nocrash~wget httpwwwmonitoringexchangeorg
attachmentdownloadCheck-Plugins
Operating-SystemsLinuxcheck_
memorycheck_memorypl
nocrash~ chmod +x check _ memorypl
Listing 8 Configuration du SMTP sur un eacutequipement Cisco
Routeurgtenable
Routeurconfigure terminal
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU ro 1
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 9 Activation des traps SNMP
Routeur(config) snmp-server community COMMUNAUTE_
RESEAU RO 1
Routeur(config) snmp-server trap-source Vlan1
Routeur(config) snmp-server enable traps snmp
authentication linkdown linkup
coldstart warmstart
Routeur(config) snmp-server enable traps tty
Routeur(config) snmp-server enable traps fru-ctrl
Routeur(config) snmp-server enable traps entity
Routeur(config) snmp-server enable traps flash
insertion removal
Routeur(config) snmp-server enable traps cpu threshold
Routeur(config) snmp-server enable traps vtp
Routeur(config) snmp-server enable traps vlancreate
Routeur(config) snmp-server enable traps vlandelete
Routeur(config) snmp-server enable traps envmon fan
shutdown supply temperature status
Routeur(config) snmp-server enable traps port-security
Routeur(config) snmp-server enable traps rf
Routeur(config) snmp-server enable traps hsrp
Routeur(config) snmp-server enable traps bridge
newroot topologychange
Routeur(config) snmp-server enable traps stpx
inconsistency root-inconsistency
loop-inconsistency
Routeur(config) snmp-server enable traps syslog
Routeur(config) snmp-server enable traps vlan-
membership
Routeur(config) snmp-server host IP_SERVEUR_
SUPERVISION COMMUNAUTE_RESEAU
Listing 10 Creacuteation des ACL
Router show running-config
Router show snmp
Router show access-lists 1
Router configure terminal
Routeur(config) ip access-list standard 1
Routeur(config) no 40
Routeur(config) 40 permit IP_SERVEUR_SUPERVISION
Routeur(config) exit
Routeurwr m
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Supervisez votre reacuteseau gracircce agrave Nagios ii partie
hakin9orgfr 45
solutions sont assez coucircteuses si vous devez envoyer un SMS de temps en temps
Nous avons adopteacute une solution basique qui fonc-tionne bien pour les petits volumes il sagit de piloter un GSM directement via votre serveur en utilisant un cacircble data USB La plupart des GSM conviendront agrave cet usage lunique condition est que le GSM possegravede un modem inteacutegreacute qui reacutepond aux commandes AT
Pour piloter le GSM nous avons besoin de la bibliothegrave-que gsmlib Cette bibliothegraveque se trouve dans le paquet gsm-utils Pour linstaller lancez la commande suivante
nocrash~ aptitude install -y gsm-utils
Ensuite connectez le GSM via son cacircble data agrave un des connecteurs USB Si tout se passe bien le systegrave-me Hotplug chargera le module usbserial et vous ob-
tiendrez un peacuteripheacuterique suppleacutementaire devttyUSB0 Veacuterifiez gracircce agrave cette commande
nocrash~ ls -al devttyUSB
Si vous navez pas de ttyUSB chargez le module ma-nuellement
nocrash~ modprobe usbserial
Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM Veacuterifiez si le GSM reacutepond bien avec la commande suivante
nocrash~ gsmctl -d devttyUSB0 ALL
A preacutesent il est possible drsquoenvoyer des messages gracirc-ce agrave cette commande
nocrash~ gsmsendsms -d devttyUSB0 +3299999999 Nagios - Test
SMS OK
Avant drsquoajouter les commandes neacutecessaires agrave Nagios il est important de se rappeler que le numeacutero de teacuteleacute-phone correspond au pager du contact (cf Figure 16)
A preacutesent que tout est opeacuterationnel il est possible drsquoajouter les commandes agrave Nagios Pour cela passez soit par les fichiers de Nagios en eacuteditant le fichier etcna-gios3misccommandscfg soit par lrsquointerface Centreon
Ouvrez Centreon cliquez sur lrsquoonglet Configuration puis dans le menu agrave gauche Notification et enfin cli-quez sur ajouter (cf Figure 17)
Tout est OK vous allez agrave preacutesent recevoir vos notifi-cations directement par SMS
ConclusionLa mise en place drsquoune supervision de tout un parc in-formatique nrsquoest pas une mince affaire Le trio NagiosCentreonCacti que vous avez connus agrave travers deux parties de lrsquoarticle est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement agrave ameacutelio-rer lrsquoaccessibiliteacute agrave vos machines sur lrsquoensemble de vos parcs informatiques quils soient moyennement grands ou tregraves grands
NB Les Figures 16 et 17 sont agrave teacuteleacutecharger depuis wwwhakin9orgfr
Figure 14 Reacuteception de la premiegravere notifi cation
Figure 13 Creacuteation drsquoun compte Twitter
Figure 15 Creacuteation des commandes de notifi cation
auteurReacutegis SENET est en cinquiegraveme anneacutee agrave lrsquoeacutecole Supeacuterieure drsquoinformatique Supinfo Passionneacute par les tests drsquointrusion et les vulneacuterabiliteacutes Web il tente de deacutecouvrir la seacutecuriteacute in-formatique drsquoun point de vue entreprise Il soriente actuelle-ment vers les certi cations O ensive Security et CEHContact regissenetsupinfocom Site internet httpwwwregis-senetfr
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201046
AttAque
Je ne voudrais pas me reacuteveiller un matin en me disant que je ne suis plus moi-mecircme Cette phrase rendue ceacutelegravebre par le film Invasion of
the Body Snatchers (Lrsquoinvasion des profanateurs) sorti en 1956 pourrait srsquoappliquer aujourdrsquohui aux problegravemes rencontreacutes sur le Web La majoriteacute des internautes recevant des mails envoyeacutes par des amis ou des collegravegues ne pensent jamais agrave en veacuteri-fier la provenance ni mecircme la source Ce compor-tement qui tend agrave se geacuteneacuteraliser influe de plus en plus sur les reacuteseaux sociaux Aujourdrsquohui entre les blogs Twitter Facebook et LinkedIn nous mettons agrave disposition du monde entier un nombre incalcula-ble de donneacutees personnelles Alors que nous som-mes pris dans la culture de lrsquoauto-publication avec lrsquoavegravenement du Web 20 nous oublions que chaque eacuteleacutement drsquoinformation transmis lrsquoest de maniegravere deacute-finitive et risque de se retourner un jour contre nous Nous verrons dans cet article comment gracircce aux Evil Twin certains pirates parviennent agrave utiliser les meacutedias sociaux contre nous contre des employeacutes ou les membres drsquoune famille
Un Evil Twin tel que deacutefini par Carl Timms et Ja-mes Perez dans leur ouvrage consiste pour un at-taquant agrave se faire passer pour un utilisateur leacutegitime en usurpant son identiteacute Cette technique nrsquoest pas nouvelle elle est utiliseacutee depuis des anneacutees sur les forums et les chats Mais depuis deux ans environ elle se retrouve sur les reacuteseaux sociaux ougrave lrsquoidentiteacute deacuteclareacutee par un utilisateur est supposeacutee ecirctre authen-
tique Par exemple qui pourrait nous empecirccher de nous inscrire sur Facebook sous le nom de profil William George Personne Et crsquoest bien lagrave le pro-blegraveme sur Internet nrsquoimporte qui peut dire ou faire croire nrsquoimporte quoi et chercher agrave reacuteinventer sa vie par la mecircme occasion Bien revenons-en agrave lrsquoessen-tiel un Evil Twin se produit lorsque est creacuteeacutee la pa-ge William George sur Facebook avec lrsquointention de recueillir des informations sur la famille du veacuteritable William George ses amis ses collegravegueshellip Lrsquoutilisa-tion drsquoun Evil Twin permet donc de se faire passer pour un utilisateur leacutegitime pour mieux infiltrer le cer-cle de confiance (composeacute en geacuteneacuteral drsquoamis pro-ches) de la victime ou reacutepandre des malwares via les applications Facebook
Agrave premiegravere vue cela ressemble agrave du Social Enginee-ring Et bien crsquoest preacuteciseacutement cela Un Evil Twin est lrsquoillustration mecircme du Social Engineering Dans son ouvrage Kevin Mitnick deacutefinit le Social Engineering ainsi
Le Social Engineering est lrsquoart drsquoinfluencer et de per-suader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans lrsquoaide des technologies informatiques
Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime Un Evil Twin permet agrave terme de reacutepandre des malwares ob-tenir des informations des caches ou diffamer une ou plusieurs personnes
Les attaques ltlt evil twin gtgt du Social engineering
Le Social Engineering est lrsquoart drsquoinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations Un Evil Twin utilise un ensemble de techniques pour faire croire qursquoil srsquoagit drsquoun utilisateur de confiance tout en recueillant des informations sur sa victime
Cet article expliquebull Ce qursquo une Evil Twinbull Lrsquoutilisation drsquoune Evil Twin par Social Engineeringbull La porteacutee drsquoune Evil Twin
Ce qursquoil faut savoirbull Utiliser un moteur de recherchebull Comment srsquoinscrire sur un reacuteseau social
tim Kulp
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Les attaques ltlt evil twin gtgt
hakin9orgfr 47
famation agrave lrsquoespionnage en passant par le deacuteploiement de malwares des actes de deacutesinformation Vous de-vez donc deacutelimiter ce qui est possible ou non puis eacuteta-blir lrsquoobjectif agrave atteindre crsquoest-agrave-dire votre but Dans no-tre cas lrsquoattaque doit permettre drsquoobtenir les identifiants de connexion systegraveme Lobjectif est donc de reacutecupeacute-rer ces informations puis drsquoacceacuteder au systegraveme distant pour soutirer de lrsquoargent agrave la machine cible (systegraveme financier)
Eacutetape 2 Deacutefinir la cibleVous devez maintenant deacutefinir la cible Qui atta-quez-vous en bout de chaicircne La cible est soit un particulier une entreprise soit tout autre groupe Si crsquoest un groupe vous devez savoir quelle personne attaquer
Posez-vous les questions suivantes
bull Votre cible est-elle preacutesente sur les meacutedias so-ciaux Essayez drsquoobtenir le maximum drsquoinforma-tions sur la cible vous faciliterez la mise en place drsquoun Evil Twin
bull Votre cible est-elle preacutesente sur les reacuteseaux so-ciaux Dans lrsquoideacuteal il est preacutefeacuterable qursquoelle ne le soit pas Sinon choisissez drsquoautres reacuteseaux so-ciaux et invitez un ou des ami(s) de votre cible La plupart des internautes sont inscrits agrave plusieurs reacute-seaux sociaux ou ont plusieurs profils sur un seul reacuteseau Sinon vous pouvez toujours tenter de deacute-tourner les connexions vers votre nouveau compte (bien que plus difficile)
bull Votre cible est-elle la bonne Assurez-vous que vous pourrez atteindre votre objectif avec votre ci-ble Si vous souhaitiez obtenir des codes drsquoaccegraves physique agrave un bureau situeacute agrave Baltimore ne choisis-sez pas une cible vivant agrave Londres ccedila paraicirct eacutevi-dent et pourtant Drsquoune maniegravere geacuteneacuterale essayez de toujours cibler les individus en relation directe avec votre objectif
Dans notre Evil Twin GroundTrans Corp est notre cible et notre objectif est drsquoobtenir les identifiants
Les sites de reacuteseaux sociaux sont le moteur des Evil Twin et les meacutedias sociaux en sont le carburant Un site de reacuteseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook LinkedIn Bebohellip Un meacutedia social en revanche permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog YouTube Twitter Les reacuteseaux sociaux permettent donc de connecterrelier des internautes alors que les meacutedias sociaux sont orienteacutes contenus Nous reviendrons sur cet aspect au cours de lrsquoarticle La plupart des sites que nous venons de citer proposent diffeacuterents paramegravetres de confidentialiteacute permettant de mas-quer les contenus et certaines informations des uti-lisateurs qui sont hors de votre cercle de confiance Toutefois ces controcircles ne sont pas obligatoirement activeacutes par deacutefaut Les meacutedias sociaux servent de carburant aux Evil Twin en informant preacuteciseacutement le pirate de lrsquoensemble des caracteacuteristiques drsquoune per-sonne pour mieux les attaquer un tweet sur le golf servirait drsquoindice au pirate en indiquant que sa victime est un golfeur Le profil Evil Twin sadapterait alors aux centres drsquointeacuterecircts de la victime
Principe de fonctionnement drsquoun evil twinVoyons la technique que nous avons mise en oeuvre pour une socieacuteteacute pour effectuer un Evil Twin en vue de deacuteterminer la meacutethodologie que ses employeacutes de-vront appliquer lorsqursquoils publient des informations drsquoentreprise sur les reacuteseaux et les meacutedias sociaux Mais sachez quun Evil Twin viole deacutelibeacutereacutement tous les accords utilisateurs de la majoriteacute des sites de reacuteseaux sociaux et meacutedias sociaux De fait vous ris-quez de vous retrouver dans de seacuterieux ennuis Nrsquoes-sayez pas cette technique sans lrsquoaccord tacite de lrsquoin-dividu et de lrsquoentreprise pour lesquels vous effectuez le test
Eacutetape 1 Deacutefinir lrsquoobjectifAvant toute chose vous devez deacutefinir lrsquoobjectif Pour quelle raison souhaitez-vous effectuer un Evil Twin Quelle est votre motivation Cette derniegravere va de la dif-
tableau 1 Informations reacutecupeacutereacutees sur Steve Partmen
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Infos personnelles Nom Steve PartmenDate naiss Aoucirct
MarieacuteSociable
Infos professionnelles GroundTrans Corp SeaTrans Corp
Infos eacuteducation Universiteacute ABC Collegravege communautaire
Loisirs AeacuteromodeacutelismeEscalade
Arts martiauxPhotos de randonneacutees
Centres drsquointeacuterecirct golf UFC
Voitures de sportMotos
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201048
AttAque
de connexion afin de soutirer de lrsquoargent au systegrave-me financier La cible eacutetant une entreprise nous devojs savoir preacuteciseacutement qui nous allons incarner Apregraves un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables nous recherchons leur eacuteventuel profil sur LinkedIn Nous conservons uniquement les comptes LinkedIn qui reccediloivent des mises agrave jour synchroniseacutees avec Twitter Cette eacutetape a permis de conserver uniquement 2 responsables proches du directeur financier Steve Partmen Nous avons donc la cible et trois supports diffeacuterents pour lan-cer un Evil Twin (la page GroundTrans LinkedIn et Twitter)
Eacutetape 3 Recueillir des informations sur lrsquoutilisateur leacutegitime La cible eacutetant deacutetermineacutee il faut maintenant recueillir des informations plus preacutecises sur notre cible Celles-ci deacutependront essentiellement de lrsquoEvil Twin que nous mettrons en place sur le reacuteseau social Le meilleur en-droit pour deacutemarrer est Google Saisissez le nom et le preacutenom de la personne et regardez les reacutesultats Durant cette phase nous devons recueillir le maximum drsquoinfor-mations sur le Steve Partmen viseacute (attention il peut y en avoir plusieurs) en utilisant des sites comme Blog-ger Twitter LinkedIn Facebook Nous pouvons eacutega-lement glaner des informations inteacuteressantes sur Twit-ter par exemple et connaicirctre en temps reacuteel ses faits et gestes
La cleacute reacuteside dans lrsquoagreacutegation de donneacutees et non dans lrsquoutilisation de donneacutees singuliegraveres qui nrsquoont aucu-ne signification propre Par exemple les utilisateurs de Twitter traitent chaque message de maniegravere unique Dans leur esprit 1 message eacutequivaut agrave 1 information Il faut donc croiser toutes les informations Twitter relati-ves agrave la cible tout en eacutetendant les recherches aux meacute-dias sociaux (blogs YouTube)
Pour conserver toutes les informations trouveacutees sur un utilisateur utilisons un tableau croiseacute - Tableau 1
Cette vue croiseacutee permet de classer chaque eacuteleacute-ment du profil par cateacutegorie et drsquoen estimer la freacute-quence Il suffit de placer chaque eacuteleacutement dans la ligne approprieacutee et de compter son nombre dappari-tions pour deacuteterminer si crsquoest Souvent Parfois Ra-rement Dans notre exemple le Golf revient Souvent
Il se retrouve freacutequemment dans les messages Twit-ter Les informations qui apparaissent Rarement sont les plus inteacuteressantes car peu connues Crsquoest ce der-nier aspect qui permettra de lancer un Evil Twin creacute-dible
Comme indiqueacute plus haut la personne pour qui nous souhaitons nous faire passer est Steve Partmen dont la biographie est consultable sur le site GroundTrans Ainsi nous savons que Steve a travailleacute pour Sea-Trans avant de rejoindre le groupe GroundTrans mais cela nest pas mentionneacute sur son profil LinkedIn Il faut donc faire apparaicirctre cette donneacutee sous la rubrique Infos professionnelles Parfois Les recherches nous ont fourni une page inteacuteressante (page 8 de Google) indiquant que Steve eacutetait un ancien prof de karateacute Cette information a eacuteteacute reporteacutee dans la cateacutegorie Loi-sirs Rarement Sur son profil LinkedIn nous avons examineacute en deacutetails lrsquohistorique de Steve y compris les informations relatives agrave son eacuteducation ses cen-tres drsquointeacuterecircts recommandations Avec ces donneacutees nous allons sur sa page Twitter pour analyser lrsquoensem-ble de messages et ainsi veacuterifier les correspondances Le golf ressortait toujours en premier tout comme la randonneacutee et lrsquoescalade Steve est eacutegalement parti au Canada pour faire de la randonneacutee dans les cercles arctiques
Sur Flickr des images de Steve et de ses amis en attestent Ces images sont sauvegardeacutees avant den rechercher dautres sur le golf Malheureusement cet-te recherche na apporteacute que des donneacutees portant sur des gens qui ressemblaient physiquement au Steve viseacute Suffisant pour ecirctre creacutedible drsquoautant que les pho-tos ont un aspect suranneacute Pour la majoriteacute des in-ternautes tout porte agrave croire qursquoil srsquoagit du veacuteritable Steve
Eacutetape 4 Pool de connexionNous avons notre cible la personne pour qui se faire passer et toutes les informations neacutecessai-res pour mettre en place notre Evil Twin Il suffit de trouver maintenant des gens agrave qui nous connecter et consulter leurs profils Cette eacutetape est relative-ment simple sachant que nous sommes preacutesent sur les reacuteseaux sociaux Avec LinkedIn nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connecteacute Lors-
tableau 2 Liste des connexions
ID Nom Entreprise Relation Liens sociaux1 Bob Jones GroundTrans Directeur Financier Aucun
2 Carol Partmen ATampT Eacutepouse httpsocialcomblahID=124
3 Dona Far Fille drsquoune amiede sa megravere
httpsocialcomblahID=23
4 Frank Haim GroundTrans Responsable informa-tique
httpsocialcomblahID=2
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
Les attaques ltlt evil twin gtgt
hakin9orgfr 49
que cette fonction est activeacutee seuls les gens auto-riseacutes voient les autres connecteacutes Si cette fonction est deacutesactiveacutee nrsquoimporte qui voit nos connexions LinkedIn dispose drsquoune autre fonction tregraves pratique laquo Viewers of this profile also viewedhellip raquo En clair nous voyons les autres profils connecteacutes agrave celui en cours Cette fonction permet drsquoeacutetablir un lien entre plusieurs profils Une connexion implicite ne signifie pas pour autant que deux profils sont directement lieacutes mais nous pouvons penser qursquoun utilisateur est parvenu agrave consulter des profils deacutejagrave visionneacutes Prenez par exemple Amazoncom qui propose laquo Qursquoachegravetent les clients apregraves avoir consulteacute cet arti-clehellipraquo cela ne signifie pas que les gens ont acheteacute plusieurs articles mais certains drsquoentre eux Drsquoapregraves notre expeacuterience les profils deacutejagrave consulteacutes sont geacute-neacuteralement connecteacutes au profil en cours de vision-nage Cette hypothegravese srsquoest souvent veacuterifieacutee
Il faut noter chaque connexion en rapport avec la cible et les ajouter ulteacuterieurement agrave notre Evil Twin Pour lis-ter ces connexions partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible
Lorsque toutes les connexions ont eacuteteacute reacutepertorieacutees nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur freacutequence Rappelez-vous que le but drsquoun Evil Twin est de gagner la confiance des utili-sateurs Par conseacutequent parvenir agrave faire la diffeacuterence entre les membres drsquoune famille des amis et des col-legravegues de travail est essentiel pour se focaliser sur sa cible Si vous vous attaquez agrave une entreprise il fau-dra vous concentrer en prioriteacute sur les contacts pro-fessionnels avant de srsquointeacuteresser aux amis ou collegrave-gues Utilisez les numeacuteros de la liste preacuteceacutedente pour gagner du temps
Pour notre attaque nous avons trouveacute la page de Steve Partmen sur LinkedIn Notre but est de deacuteployer un malware sur le reacuteseau Pour cela nous utiliserons FaceBook Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans no-tre table) dont des profils dits laquo Populaires raquo sur Lin-kedIn Gardons toujours en tecircte que notre objectif est de soutirer de lrsquoargent Pour chaque connexion nous devons nous demander si lrsquoutilisateur possegravede des informations susceptibles drsquoatteindre notre objectif Axons notre recherche sur les personnes travaillant pour le deacutepartement Comptabiliteacute amp Finance Apregraves
avoir listeacute toutes les connexions veacuterifions toutes les personnes preacutesentes sur le profil Twitter de Steve Les utilisateurs qui ont agrave la fois des followers Linke-dIn et Twitter sont marqueacutes comme Souvent Ceux qui nrsquoapparaissent que sur LinkedIn sont marqueacutes comme Parfois et ceux uniquement sur Twitter sont marqueacutes Rarement
Eacutetape 5 Mettre au point un evil twinApregraves avoir abordeacute les actions preacutealables agrave la mise en place drsquoun Evil Twin passons maintenant agrave lrsquoac-tion Nous devons drsquoabord choisir le reacuteseau social agrave utiliser en fonction de nos objectifs Si lobjectif est de deacuteployer un malware (comme indiqueacute dans notre exemple) alors Facebook est le site ideacuteal La plate-forme applicative de Facebook permet de dis-tribuer rapidement et facilement du code malveillant au plus grand nombre De plus vous pouvez re-cueillir un ensemble drsquoinformations au cours de ce processus LinkedIn est lrsquooutil de preacutedilection pour les reacuteseaux sociaux professionnels (pour mettre agrave mal la reacuteputation drsquoune entreprise) et est parfait pour la reacuteputation drsquoun Evil Twin Vous pouvez eacutegalement vous inteacuteresser aux reacuteseaux sociaux reacutecents cela peut conforter votre creacutedibiliteacute sur de nouveaux sys-tegravemes Lrsquoavantage avec cette derniegravere meacutethode est de faire croire que vous ecirctes le veacuteritable Steve Part-men Lagrave encore qui pourrait remettre en question cette affirmation
Le reacuteseau social choisi il nous faut disposer drsquoun compte mail Vous pouvez souscrire agrave des services gratuits tels que Gmail Hotmail Yahoo Mailhellip Essayez par la mecircme occasion de saisir une adresse mail creacute-dible Nous savons que lrsquoadresse hotmail de Steve est spartmenhotmailcom essayons spartmengmailcom Certains utilisateurs nrsquoy verront que du feu dans le cas contraire le vrai Steve est peut ecirctre passeacute sur un autre service
Muni de notre nouvelle adresse mail revenons sur le reacuteseau social choisi pour nous inscrire Ce proces-sus est relativement simple gracircce aux tables mises en place preacuteceacutedemment Notre Evil Twin sera alors extrecircmement efficace Que vous vous inscriviez agrave Fa-cebook ou LinkedIn vous devrez reacutepondre agrave quel-ques questions sur vos centres drsquointeacuterecirct votre date de naissancehellip Si vous nrsquoavez aucune ideacutee mettez
tableau 3 Tableau croiseacute relationnel
Cateacutegorie Freacutequence
Souvent Parfois Rarement
Contacts pro Au travail 1 4
Autres entreprises
Contacts perso Amis 3
Famille 2
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests
7201050
AttAque
nrsquoimporte quelle reacuteponse Pour la date de naissance si la personne vous semble jeune saisissez quelque chose de singulier du genre 02121928 La plupart des utilisateurs de reacuteseaux sociaux nrsquoy precirctent pas attention Essayez tout de mecircme drsquoavoir un Evil Twin creacutedible pour augmenter les chances de succegraves de votre attaque Les recherches preacutealables sont donc indispensables un Evil Twin nrsquoest aucun cas une ac-cumulation de faitshellip Il doit y avoir une personnaliteacute un fond Un Evil Twin creacutedible meacutelange avec subti-liteacute des informations exactes et des informations plus anecdotiques Lrsquoensemble doit avoir un semblant de coheacuterence
Lorsque ce vrai-faux profil est mis en ligne vous ob-tiendrez automatiquement des connexions basiques dites laquo organiques raquo Ces connexions organiques sont puissantes elles vous permettent de vous connecter rapidement agrave drsquoautres utilisateurs Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente
Pour un Evil Twin Steve Partmen nous avons opteacute pour Facebook qui possegravede un eacutecosystegraveme applicatif riche Lideacutee est de reacutepandre le malware agrave travers le reacuteseau drsquoamis ou plutocirct ceux qui pensent que nous le sommes Creacuteons un compte de messagerie Hot-mail spartmenlivecom et inscrivons-nous sur Fa-cebook Avec notre table de lrsquoeacutetape 3 indiquons nos centres drsquointeacuterecirct films preacutefeacutereacutes livres Ceci fait ta-pons le message suivant sur notre mur laquo Enfin sur Facebook raquo puis lions le vrai compte Facebook agrave ce-lui de Steve pour lui montrer qursquoil a au moins un ami Chargeons avec une leacutegende fictive quelques images trouveacutees agrave lrsquoeacutetape preacuteceacutedente Tous ces eacuteleacutements ont fait ressortir le profil de Steve lrsquoEvil Twin nrsquoen est que plus creacutedible Le lendemain envoyons des demandes drsquoajout en nous appuyant sur la colonne Souvent de notre tableau croiseacute Pour chaque demande ajou-tons le message suivant laquo Merci de ne pas en parler au bureau Jrsquoai pas mal de gens qui me demandent sans cesse de les ajouter comme amis alors merci de ne pas parler de mon compte Facebook au travail raquo Agrave premiegravere vue le message semble eacutetrange agrave ceux qui le reccediloivent mais au final cela fonctionne Nous avons eu des reacuteponses du genre laquo Pareil pour moi raquo ou laquo Tout agrave fait drsquoaccord raquo Cette technique permet drsquoeacuteviter les soupccedilons du veacuteritable Steve Partmen sur son lieu de travail
ReacutesultatsLrsquoEvil Twin de Steve Partmen a pu se connecter agrave plus de 25 personnes en seulement 24 heures Seules 7 de ces connexions eacutetaient des demandes que nous avions envoyeacutees Les 18 autres eacutetaient des gens qui eacutetaient arriveacutes sur le profil Evil Twin de Steve Une fois la connexion eacutetablie agrave lrsquoEvil Twin le malware a pu aiseacute-ment se reacutepandre sur le reacuteseau de confiance de Steve
La creacutedibiliteacute de lrsquoEvil Twin ne pouvait pas ecirctre remise en cause sachant le nombre de connexions
En utilisant lrsquoAPI Facebook nous avons pu concevoir une petite appli en HTML appeleacutee laquo Jrsquoadore Ground-Trans Copr raquo et nous lavons envoyeacutee agrave tous les connec-teacutes 20 ont accepteacute notre demande Lrsquoapplication nrsquoeacutetait qursquoune balise image mais cela aurait tregraves bien pu ecirctre une attaque CSRF ou XSS (cross-site scripting)
Suite agrave la phase de dialogue avec les utilisateurs pour leur expliquer notre deacutemarche aucun drsquoeux nrsquoavait sus-pecteacute le profil Evil Twin de Steve drsquoecirctre un faux et en-core moins lrsquoapplication La plupart nrsquoavaient mecircme re-marqueacute que sa date de naissance eacutetait 1930 (alors que Steve a 40 ans) Pour reacutesumer tous les utilisateurs ont accepteacute le profil de Steve en se fiant aux images et aux messages publieacutes
une multitude de possibilities Un Evil Twin peut ecirctre la porte drsquoentreacutee agrave une attaque eacutelaboreacutee Comme indiqueacute preacuteceacutedemment un Evil Twin nrsquoest qursquoun moyen pour parvenir agrave ses fins et non une attaque en elle-mecircme Un Evil Twin facilite le deacuteploie-ment de malwares des attaques par phishing certai-nes formes drsquointimidation numeacuterique cyberbullying ou la diffamation Toutes ces attaques risquent donc de porter preacutejudice agrave un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les reacuteseaux sociaux
ConclusionAlors que les meacutedias sociaux nous permettent de pu-blier nrsquoimporte quel contenu ils nous exposent agrave cer-tains utilisateurs malintentionneacutes Les reacuteseaux sociaux nous permettent de rester en contact avec les person-nes qui nous sont chegraveres ou que perdues de vue depuis des anneacutees mais agrave quel prix Les attaques Evil Twin montrent combien nous sommes deacutependants des me-dias sociaux et notre deacutesir de nous lier aux autres par les reacuteseaux sociaux La vigilance est donc le mot drsquoor-dre et la seule arme pour se preacutemunir de ces menaces Les reacuteseaux sociaux sont aujourdrsquohui adopteacutes par de plus en plus drsquoentreprises et ces techniques ne feront qursquoaugmenter dans les mois et les anneacutees qui viennent Restez vigilant
Agrave PRoPoS De LrsquoAuteuRTim Kulp (CISSP CEH) est un professionnel de la seacutecuriteacute in-formatique travaillant agrave Baltimore dans le Maryland Tim est speacutecialiseacute dans la seacutecuriteacute lieacutee au deacuteveloppement logi ciel in-si que dans les tests