Quentin Demoulière

Mon blog personnel

Sécurité

Script Packet Filter basique sur OpenBSD 5.4

Rédigé par Quentin Demouliere - - Aucun commentaire

Voici un premier script basique pour Packet Filter sur OpenBSD 5.4. Cette configuration permet de filtrer ce qui provient de l'Internet à destination du réseau local en IPv4 et en IPv6 et de tout autoriser à sortir depuis le réseau local en double pile.

Lire la suite de Script Packet Filter basique sur OpenBSD 5.4

Configuration basique de mes serveurs Debian

Rédigé par Quentin Demouliere - - 2 commentaires

Suite à l'excellent billet de NicoLargo : http://blog.nicolargo.com/2013/03/mes-5-premieres-minutes-sur-un-serveur-debian.html, j'ai également décidé d'évoquer la configuration que j'utilise lorsque je configure un nouveau serveur Debian.

  • Utilisation de LVM avec les répertoires /, /home, /tmp, /var, /boot, /srv sur des volumes logiques différents (j'utilise pour l'instant les systèmes de fichier ext4 et XFS)
  • Mise en place d'un password au niveau du Grub
  • Création d'un utilisateur classique en plus du root avec mot de passe fort
  • Activation de SSH avec authentification par clefs RSA ou ECDSA avec interdiction de se connecter en root (utilisation de la commande su par la suite)
  • Automatisation d'une partie des mises à jour avec CRON-APT
  • Mise en place d'un Firewall avec Netfilter / IPTABLES
  • Chroot ou Jails des principaux services sensibles (DNS et WEB)
  • Utilisation de FAIL2BAN pour les services SSH, HTTP, DNS, SMTP
  • Mise en place de PortSentry pour éviter les Scan basiques
  • En fonction des besoins mise en place d'un Reverse-Proxy (HAProxy, Apache, NGinx ou Varnish) en Frontal
  • Utilisation régulière de ClamAV, CHKROOTKIT et Lynis (Virus, Trojan, Rootkit)
  • Mise en place de LogWatch pour obtenir des remontées régulières d'informations par mail
  • Scripts de sauvegarde avec Rsync over SSH + CRON

Je n'ai pas encore eu l'occasion de tester GLANCES, l'outil de supervision développé par Nico Largo... mais Why not ? Voilà, ce que je fais lorsque je décide de mettre en production un serveur Debian accessible sur le NET.

Si vous avez des idées ou des suggestions pour améliorer, ou optimiser ma configuration, je suis bien entendu preneur ;) .

Analyse de votre réseau local à l'aide du "port-mirroring"

Rédigé par Quentin Demouliere - - Aucun commentaire

Les commutateurs sont maintenant omniprésents dans les réseaux locaux d'entreprise. Lorsque les administrateurs réseaux souhaitent surveiller, et superviser ceux-ci, ils peuvent sonder ce qui sort et entre du routeur. Pour récupérer des flux suspects en interne, il peut être de bon ton d'utiliser le port-mirroring.

Le port-mirroring est une technique réplication du trafic d'un port ou d'un VLAN sur un autre port. Il est possible de l'implémenter sur la majorité des commutateurs. Ainsi avec une carte Ethernet et un WireShark en mode Promiscious, vous serez en mesure de récupérer les data susceptibles de vous intéresser.

Lire la suite de Analyse de votre réseau local à l'aide du "port-mirroring"

Comment protéger un minimum sa vie privée lorsque l'on se connecte sur Internet à partir d'un Point d'accès Publique ?

Rédigé par Quentin Demouliere - - Aucun commentaire

J'utilise en ce moment même un Point d'accès publique Wifi dans un hôtel. Et comme je n'ai pas trop envie que ces messieurs dames (gestionnaires du PA ou bien utilisateurs étant sur la même borne que moi avec une carte Wifi en mode Promiscious) viennent farfouiller du coté de ma navigation sur le Net, j'ai décidé d'encrypter tout cela dans un bon vieux tunnel SSH qui redirige tout mon trafic vers mon petit chez-moi.

Lire la suite de Comment protéger un minimum sa vie privée lorsque l'on se connecte sur Internet à partir d'un Point d'accès Publique ?