Vous êtes sur la page 1sur 50

formations formationsprofessionnelle & Certification

Plus de 350 formations agres par les diteurs et constructeurs et 4000 sessions dlivres par an font de Global Knowledge un organisme de formation rfrent en informatique, en management des Systmes dInformation et gestion de projets IT.

Global Knowledge a t lu Meilleur partenaire Formation de lanne par Cisco, VMware et Citrix!
Les Essentiels Rseaux, Virtualisation, Voix, Scurit
Les rseaux : architectures, mise en oeuvre et perspectives Enjeux et solutions dun environnement virtuel Voix sur IP : les fondamentaux La VoIP scurise Les fondamentaux de la scurit informatique CISSP Prparation la Certification Hacking Defined Advanced : se protger contre les agressions du SI

Virtualisation VMware, Microsoft & Citrix


VMware Whats New vSphere 4 (mise jour des connaissances) VMware vSphere 4 : installation, configuration et administration VMware View : installation, configuration et administration VMware vSphere 4 : Troubleshooting nouveau VMware vSphere 4 : Design nouveau Mettre en oeuvre la virtualisation sous Windows 2008 (Hyper-V) Administrer les postes de travail avec MDOP Dployer et administrer System Center Virtual Machine Manager Planifier, dployer et grer System Center Configuration Manager Mettre en oeuvre et grer System Center Operations Manager 2007 Mettre en oeuvre Citrix XenApp 5 pour Windows Server 2008 Citrix Desktop Infrastructure : grer XenServer, XenDesktop, et Provisioning Server Mettre en oeuvre une solution de virtualisation avec Citrix nouveau

Gouvernance & Management Informatique


La gouvernance et performance des Systmes dinformation Les tableaux de bord de la performance informatique Rentabilit et valeur ajoute des investissements informatiques Cobit Foundation et la gouvernance des SI ITIL v3 Foundation Le cas Wall Street : simulation sur ITIL v3 et ISO 20000 ISO/IEC 20000 Foundation ISO/IEC 27002 Foundation Matriser et accompagner les changements Dvelopper le leadership et les qualits de pilotage des managers Devenez manager coach de votre quipe

Rentre 2010 : les incontournables


Rseaux Cisco
Interconnecting Cisco Network Devices Part 1 (ICND1) Implementing Cisco IP Routing (ROUTE) nouveau Implementing Cisco IP Switched Networks (SWITCH) nouveau Troubleshooting & Maintaining Cisco IP Networks (TSHOOT) nouveau Configurer BGP sur des routeurs Cisco (BGP) Cisco IPV6 Concepts, Design et Dploiement (IPV6) Implementing Cisco MPLS (MPLS) Mettre en oeuvre une infrastructure Cisco MultiCast (ICMI) nouveau Mettre en oeuvre CiscoWorks LMS (CWLMS) Mettre en oeuvre la scurit des rseaux IOS Cisco (IINS) Scuriser les rseaux avec des routeurs et switches Cisco (SNRS) Les fondamentaux de la scurit des rseaux avec Cisco ASA (SNAF) Cisco Wireless Lan Fundamentals (CWLF) Mettre en oeuvre Cisco IOS Unified Communications (IIUC) Cisco : La Voix sur IP version 6.0 (CVOICEV6) Mettre en oeuvre la Qos Cisco (QOS) Cisco IP Telephony Part 1 version 6 (CIPT1V6) Data Center Network Infrastructure (DCNI-1)
Formations ligibles au DIF | Support de cours remis chaque participant

Gestion de projet PMI / Prince 2


Introduction au management de projets La gestion des projets informatiques (IT) PMP Bootcamp : Prparation la certification Prince 2 Foundation

Client/Serveur/Messagerie Microsoft
Installation et configuration du client Windows 7 Planifier les dploiements et administrer les environnements Windows 7 Configuration et administration de SharePoint Server 2010 nouveau Dvelopper et personnaliser les applications pour Sharepoint 2010 nouveau Lessentiel de ladministration de serveurs Windows 2008 Configurer et dpanner une infrastructure rseau Windows 2008 Active Directory pour Windows Server 2008 Configuration, administration et dpannage de Exchange Server 2010 Concevoir et dployer des solutions de messagerie avec Exchange 2010 nouveau Mise en uvre et maintenance des outils de communications unifies avec OCS R2

Renseignements & Inscriptions : Tl.: 0821 20 25 00 (prix dun appel local) info@globalknowledge.fr Tlchargez le catalogue complet sur :

www.globalknowledge.fr
Global Knowledge France - Sige social - Tour Albert 1er - 65, avenue de Colmar - 92507 Rueil-Malmaison cedex - Tl.: 01 78 15 34 00 - Fax : 01 78 15 33 90 2010 Global Knowledge Training LLC.

DITORIAL
La scurit de la tlphonie VoIP

urant cette pleine priode de vacances et de repos, commenons ce numro par le dossier ddi la scurit de la tlphonie VoIP. En effet, nous sommes nombreux utiliser et profiter des avantages de la communication tlphonique via les rseaux. Lauteur de larticle sur Asterisk vous expliquera les vulnrabilits du protocole ToIP, les mthodes dattaques et, surtout, de bonnes mesures de prvention. Vous dvouvrirez le fonctionnement dAsterisk, solution Open Source qui a dj fait ses preuves. Une panne de rseaux informatiques risque de coter cher toute entreprise et risque dtre lourde en consquences. Dans la section Pratique, dcouvrez larticle Supervisez votre rseau grce Nagios qui vous expliquera comment superviser vos parcs informatiques. Dans la section Attaque, nous vous invitions lire larticle sur une technique que les pirates utilisent pour influencer ou manipuler les utilisateurs afin de leur soutirer de largent. Tout cela grce aux mdias sociaux. Un article que les passionns de sites de rseaux sociaux ne manqueront pas. Utiliser un servuer mandataire nous protge-t-il contre tous les riques sur la Toile ? Dans larticle Serveurs mandataires, comment les utiliser ?, vous aurez loccasion de connatre les diffrents types de serveur mandataire dans la scurit informatique. Vous apprendrez galement les utiliser. Bonne lecture tous, Lquipe Hakin9

Le mensuel hakin9 est publi par Software Press Sp. z o. o. SK

Publicit : publicite@software.com.pl (c) 2009 Software Press Sp. z o. o. SK, tous les droits rservs Bta-testeurs : Didier Sicchia, Pierre Louvet, Anthony Marchetti, Rgis Senet, Paul Amar, Julien Smyczynski, Gregory Vernon, Latorre Christophe, Timote Neullas Les personnes intresses par la coopration sont invites nous contacter : fr@hakin9.org Adresse de correspondance : Software Press Sp. z o. o. SK Bokserska 1, 02-682 Varsovie, Pologne Tl. +48 22 427 32 87, Fax. +48 22 244 24 59 www.hakin9.org

AVERTISSEMENT Les techniques prsentes dans les articles ne peuvent tre utilises quau sein des rseaux internes. La rdaction du magazine nest pas responsable de lutilisation incorrecte des techniques prsentes. Lutilisation des techniques prsentes peut provoquer la perte des donnes !

Prsident de Software Press Sp. z o. o. SK: Pawe Marciniak Directrice de la publication: Ewa Lozowicka Rdactrice en chef: Aneta Mazur aneta.mazur@hakin9.org Fabrication: Andrzej Kuca andrzej.kuca@software.com.pl DTP : Przemysaw Banasiewicz Couverture : Agnieszka Marchocka

3/2010 HAKIN9

7/2010

TABLE DES MATIERES News


Rubrique tenue par Paul Amar 6

DOssIeR

ASTERISK et les techniques de hack de la tlphonie sur IP ! 8

David Hur Asterisk est une solution Open source innovante qui a fait ses preuves ! Aujourdhui, utilis par des particuliers comme de grandes entreprises et possdant un rel potentiel dvolution, Asterisk apporte un nouveau souffle la ToIP.

sCURIT RseAUX
Serveurs mandataires. Comment les utiliser ? 16
Paul Amar sintresser larchitecture de son propre rseau ou celui dune entreprise ncessite de faire de nombreux choix quant linfrastructure. A travers cet article, vous allez dcouvrir le principe des diffrents types de serveur mandataire dans la scurit informatique.

Connexion scurise grce SSH 22

Rgis Senet Protgez vos communications de lensemble des actes de piratage en chiffrant vos donnes ! Grce cet article, vous allez apprendre comment mettre en place le protocole scuris pour les communications distantes. en effet, nous ne pouvons pas savoir qui nous coute chaque instant dans limmensit de linternet. Il est donc temps de remplacer tous ces protocoles et de possder vos accs ssH.

Supervisez votre rseau grce Nagios II partie 38

Rgis Senet Cet article constitue la II me partie de larticle ddi la supervision du rseau grce Nagios. Dans cette partie, nous allons nous concentrer sur le logiciel Cacti. Aprs la supervision des machines windows, nous allons voir galement celle des machines GNU/Linux.

PRATIQUe

Supervisez votre rseau grce Nagios 28

ATTAQUe

Rgis Senet Les rseaux informatiques sont devenus indispensables au bon fonctionnement gnral de nombreuses entreprises et administrations. Tout problme ou panne risque davoir de lourdes consquences tant financires quorganisationnelles. La supervision des parcs informatiques est alors ncessaire et indispensable. Dcouvrez comment superviser votre rseau informatique grce Nagios.

Les attaques << Evil Twin >> du Social Engineering 46

Tim Kalp Un evil Twin utilise un ensemble de techniques pour faire croire quil sagit dun utilisateur de confiance tout en recueillant des informations sur sa victime. Nous verrons dans cet article comment, grce auxevil Twin, certains pirates parviennent utiliser les mdias sociaux contre nous, contre des employs ou les membres dune famille.

7/2010

ACTUALITS

Youtube, une faille XSS dcele

Une vulnrabilit de type XSS a t exploite sur le site Youtube aux alentours du 5 juillet 2010. Google a patch la vulnrabilit au plus vite, vitant ainsi au vecteur dattaque de crer de nombreux dgts. Cette exploitation de faille sest faite juste aprs la fte nationale des Etats-Unis. Cest peut-tre une simple concidence mais de nombreux pirates jouent sur les ftes nationales etc. pour ainsi esprer une dure de vie plus longue de la vulnrabilit : les effectifs tant moins nombreux, le patch sera plus long arriver. Rappelons-nous, par exemple, le cas avec Twitter, lanne dernire la priode de Pques, etc. Concernant laspect technique de la vulnrabilit, si nous tentions dinsrer des balises HTML, seule la premire tait filtre. Ds lors, il suffisait dentrer <script><script> pour que la deuxime balise <script> soit excute car mal filtre. Lattaque na pas eu de grave rpercutions et na servi qu insrer des messages au sujet de la mort fictive de Justin Bieber (chanteur canadien) ainsi que certaines redirections. En revanche, les risques dune XSS sont laffichage de nombreux messages, la rcupration des cookies et ainsi tromper la majorit des internautes.

une machine distante. Cet add-on a t upload le 6 juin et la compagnie dnombre ce jour prs de 3300 utilisateurs de ce logiciel malveillant. Le code de ladd-on navait pas t vrifi mais seulement scann la recherche dun quelconque virus. Seul un comportement anormal de ladd-on est dtect en analysant le code. Mozilla, aux aguets depuis ces derniers temps, a dcel un autre add-on nomm CoolPreviews dont le code contient une vulnrabilit permettant une personne mal intentionne dexcuter du code distance et ainsi avoir la main sur la victime infecte par cet add-on. Ds lors, prs de 177 000 ont la version de CoolPreviews installe. Cest donc un vecteur dattaque qui nest en aucun cas ngliger et qui risque de faire de nombreux dgts tout en nuisant limage du navigateur.

Un ancien employ du MI6, coupable de fuites dinformations

Mozilla a augment la rcompense donne aux chercheurs en scurit informatique qui trouveraient des bugs dans le navigateur internet Mozilla firefox. La valeur de la prime est de 3 000 $. Ce systme cherche valoriser le travail des chercheurs en scurit, afin de promouvoir le ct lucratif que les bugs trouvs apporteraient et, ainsi, pallier le problme de fulldisclosure (soit divulguer la faille sur internet). Cette initiative a t lance dbut 2004 et semble tre suivie par bon nombre de personnes. Cependant, le bug doit avoir certaines particularits notamment ne pas avoir dj t report, tre de type remote exploit et dans la dernire version du logiciel. En parallle, dautres compagnies ont suivi le mme mouvement, comme Google, avec une prime 1337 $, ce qui en fera sourire certains car signifie leet soit lite. Information de dernire minute : Google vient daugmenter la prime 3113,7 $...

Avis aux dtenteurs de vulnrabilits sur les navigateurs Mozilla / Chrome

Daniel Houghton, 25 ans, a t au cur de lactualit au cours des dernires semaines. Il a travaill de 2007 2009 dans les services de renseignement du Royaume-Uni. Il tait rattach au MI6 en charge de la protection du pays contre des attaques terroristes etc. Fin 2009, Daniel Houghton a dcid de dmissionner, emportant avec lui de nombreuses informations susceptibles de se rvler trs intressantes aux yeux de personnes cherchant nuire au Royaume-Uni. Il a t accus, il y a quelques semaines, davoir voulu dvoiler, contre de largent, des informations classes confidentielles dont une liste de prs de 700 membres appartenant aux services de renseignements etc.

Un add-on Mozilla qui rcupre vos mots de passe...

De nombreux add-ons au navigateur Internet Firefox ont paru il y a quelques jours, dont le Mozilla Sniffer servant intercepter les logins, passwords et donnes soumis nimporte quel site, les envoyant par la suite

7/2010

ACTUALITS

Daniel avait cherch vendre ces informations aux services de renseignements allemands, demandant prs de 2 millions de . Finalement, aprs de nombreuses ngociations, il a baiss le prix 900 000 . La transaction devait tre ralise Londres, mais Daniel a t arrt juste avant, niant les faits. Depuis, il a plaid coupable. Le jugement aura lieu le 3 septembre ; en attendant, de nombreuses investigations continuent. Le 7 juillet aura t une date noire pour Skype : cest cette date que Sean ONeil a publi, laide dune quipe de reverse engineers , lalgorithme dencryptage de Skype. Cet algorithme tait tenu secret par lquipe de Skype. Or, maintenant, il est rvl au grand jour. Sean ONeil explique sur son blog (article qui peut tre visualis grce au cache de Google, car supprim de son blog) que son code avait t vol il y a quelques mois, tait utilis par des pirates informatiques, ralisant du spam etc. Ds lors, Skype tait remont jusqu lui, laccusant de jouer un rle prdominant avec les spammers etc. Quant lui, pour se justifier, il propose du code en C, tout en argumentant son acte : il souhaite rendre Skype plus scuris.

ce qui aurait provoqu un incident majeur sur toute cette communaut.

Des problmes pour le FBI et lencryptage de plusieurs disques durs...

Skype, le secret rvl au grand jour

En juillet 2008, la police avait saisi 5 disques durs appartenant un banquier brsilien, Daniel Dantas, souponn de nombreux crimes. Les autorits brsiliennes ont constat que les donnes taient chiffres. De nombreuses analyses ont rvl que les fichiers avaient t encrypts laide de deux algorithmes dont TrueCrypt et un autre non identifi (certainement fond sur 256-bit AES). De plus, il nexiste pas (comme au Royaume-Uni, par exemple) de loi forant lutilisateur donner sa cl de cryptage. Malgr un an dtudes et de tests, le FBI na pas russi casser le systme. En consquence, sans les preuves informatiques des fraudes financires, les enquteurs auront des difficults poursuivre DANTAS. Les prochains mois nous permettront dy voir un peu plus clair ce sujet tout en suivant laffaire.

Cracking de password, une nouvelle dcouverte surprenante !

Quand les Hackers rencontrent les pirates ...

Le fameux site de partage de fichiers a t victime dun groupe de chercheurs argentins, sous la direction de Ch Russo. Ils ont russi accder linterface dadministration du site grce de nombreuses vulnrabilits telles que des SQL Injection, .. Ds lors, ils ont pu avoir accs la base de donnes, qui recensait prs de 4 millions dutilisateurs. 4 millions dutilisateurs reprsentent un nombre trs important, surtout pour lune des plates-formes les plus connues et les plus mdiatises, vu le nombre de procs auxquels ses dirigeants ont d faire face. Ces informations sont une vritable mine dor pour les personnes cherchant mettre la main sur les utilisateurs pratiquant le tlchargement. Les chercheurs argentins pouvaient raliser de nombreuses interactions comme, par exemple, crer / supprimer / modifier / ou encore, voir les informations sur les utilisateurs, incluant tous leurs torrents Russo a expliqu dans un communiqu que lui et ses associs nont ni altr ni supprim une quelconque information dans la base de donnes. Paralllement, il a assur quil ne vendrait aucune information rcupre lors de cette intrusion. Il souhaitait seulement dmontrer que les informations des membres ntaient pas bien protges et quil tait tout fait possible de les rcuprer. Heureusement, ces informations ne soient pas tombes dans de mauvaises mains,

Les chercheurs Nate Lawson et Taylor Nelson prtendent avoir dcouvert une faille de scurit qui affecte de nombreux systmes dauthentification tels que Oauth ou encore OpenID. Ces systmes sont trs fortement utiliss sur des sites tels que Twitter, Les cryptographes sont informs des attaques dites temporelles depuis de nombreuses annes mais nont jamais pris la menace trs au srieux car elle semblait trop difficile mettre en place sur un rseau (problmes de latence, etc.. ) puisque cette attaque est fonde sur le temps. Larticle prsente un cas intressant : certains systmes vrifient que le login / password correspond chaque nouvelle insertion de caractre. Ds lors, les chercheurs en arrivent la conclusion quun mauvais essai de login arrive plus vite quun login o le premier caractre du login est bon. (Le systme renvoie un mauvais login ds quil dtecte un mauvais caractre). Grce ce facteur de temps , il est possible de deviner un mot de passe et ainsi contourner les systmes dauthentification. Nate et Taylor souhaitent discuter de ces attaques la Black Hat confrence qui se tiendra fin aot Las Vegas. Dautres articles ou documentations nous en diront certainement plus sur lexploitation dattaque de type temporelle . News rdigs par Paul AMAR.

hakin9.org/fr

DOSSIER

ASTERISK et les techniques de hack de la tlphonie sur IP !


David Hur
Asterisk est une solution Open Source innovante qui a fait ses preuves ! Historiquement conu par un tudiant en 1999, Mark Spencer avait un rve, il souhaitait dmocratiser la tlphonie sur IP et concurrencer les plus grands ! Aujourdhui, utilis par des particuliers comme de grandes entreprises et possdant un rel potentiel dvolution, Asterisk apporte un nouveau souffle la ToIP
Cet article explique
Les fondamentaux dAsterisk Comment exploiter les vulnrabilits protocolaires de la ToIP Les mthodes dattaques et les outils Les bonnes pratiques pour se protger

Ce quil faut savoir


Notion de rseau et des protocoles Notion de ToIP

e monde de la tlphonie est plus que jamais en volution ces dernires annes. En effet, aprs le passage de la tlphonie traditionnelle vers la VoIP (voix sur rseau IP), un grand nombre dacteurs plus ou moins historiques proposent maintenant des solutions apportant des services valeurs ajoutes. Alcatel fait toujours partie des leaders du march, mme sil a perdu des parts non ngligeables sur ce march, dautres ont russi exploiter davantage lIP comme Cisco, Avaya, Mitel ou encore un autre quil nest plus ncessaire de prsenter, Asterisk sous toutes ses formes Il y a encore 5 ans, Asterisk reprsentait ~0,2 % de parts de march puis, en quelques annes, prs de 4%, et maintenant, il atteint prs de 7% du march mondial en 2010. Certains oprateurs utilisent mme un noyau Asterisk pour leurs offres Centrex et ont minima valid lAsterisk V1.4 et/ou V1.6 pour leurs solutions TrunkSIP . Asterisk bnficie maintenant dune rsonance toute particulire, mme aux yeux des grandes entreprises ! Autant dire que la communaut Asterisk est comparable aux autres communauts telles que Squid, MySQL, Apache quelle se porte bien et a encore de beaux jours devant elle ! Ce succs est principalement d au caractre Open Source dAsterisk et une certaine maturit technologique qui lui permet, maintenant, dtre aussi fiable et performant que les solutions leader. De plus, lensemble des fonctionnalits proposes stoffent chaque version,


tel point quaujourdhui, Asterisk possde des fonctions qui ne sont pas aux catalogues des grands constructeurs et surtout adaptables sur mesure votre environnement afin de linterfacer dans des systmes dinformations complexes. La flexibilit dAsterisk est un atout majeur face aux autres solutions packages ! Asterisk permet notamment, en plus de tous les services dit classiques , de mettre en place des services tels que : softphone, voicemail, MEVO, PoPC, statistique (CDR), call center, Fax-mail, interface spcifique, IVR, Confrence, provisionning automatique, SMS, passerelle mobile, enregistrement, text-To-Speech, ACD, Ldap, taxation, CRM, supervision, annuaire, reconnaissance du numro depuis lextrieur, gestion de Prsence, des files dattentes, messagerie instantane, couplage avec Wifi et DECT IP, couplage avec visioconfrence, le chuchotement, CTI, T9, annuaire unifi, musique dattente Cependant, la ToIP/VoIP souffre encore dune mauvaise image dun point de vue scuritEn effet, les rseaux voix historiquement isols, fusionnent de plus en plus avec les rseaux de donnes, ils sont donc plus sensibles aux attaques dun piratage. Les impacts peuvent tre variables, confidentialit, dysfonctionnements, usurpations, coute, changements des annonces de lIPbx, accs aux messageries vocales, contournement de la politique de scurit DATA (backdoors), perte financire, etc alors quil existe un ensemble de solutions qui permettent de maitriser la scurit de son systme de tlphonie sur IP.
7/2010

ASTERISK et les techniques de hack de la tlphonie sur IP !

Dans certaines actualits, beaucoup ont entendu parler des enregistrements de laffaire Bettencourt ou encore, ont lu avec stupfaction que certains oprateurs trangers nhsitaient pas pirater des entreprises dautres pays afin de mettre en place des peering de masse leur permettant de revendre des milliers de minutes par mois pour lusage de leurs clients Dautre part, moins prsente en France, larnaque aux numros surtaxs et l'usurpation d'identit, le procd est simple, il consiste appeler une personne en modifiant le numro dappelant par celui de quelquun dautre ; peu doprateurs contrlent ce type dexerciceetcecontrleestrenduquasiimpossibledansle cas dune communication VoIP internet Une autre arnaque porte sur la modification de la synthse vocale afin de se faire passer pour quelquun dautre par le biais dun simple outil de modulation de frquence vocale, outil de plus en plus volu et qui permet, par exemple, de transformer la voix dune femme en celle d'un homme ! Les IPBX entreprise actuellement sur le march ne sont pas quips aujourdhui de mcanisme de contrle de conformit de la voix mais il est possible, dans le cadre daffaires judiciaires, de vrifier si une voix a t ou non modifi dans un enregistrement. A ce sujet dailleurs, seuls les oprateurs sont contraints, par commissions rogatoires dlivres par les services judiciaires, mettre en place des coutes tlphoniques. Certaines techniques dinterception lgale de trafic se standardisent mme au niveau international comme le Lawful interception de la Communications Assistance for Law Enforcement Act (CALEA ou ETSI) Cependant, ne soyons pas alarmiste, ce type dattaque ncessite une expertise et chacun, son niveau, dispose de moyens plus ou moins volus de se protger avec des niveaux de scurit trs satisfaisants ou,

au moins, quivalents celui des anciens systmes de tlphonie traditionnels ! Nous allons en dtailler certains dentre eux, en commenant par la scurit de lOS qui supporte votre IPBX, gnralement sous noyau Linux, il existe deux coles. Il y a ceux qui optimisent intgralement lOS utilis, technique trs efficace et bnficie davantages indniables comme les performances, la scurit optimale, la stabilit accrue et rpondent des besoins spcifiques, voire industriels. Cependant, cette technique ncessite des comptences avances. En effet, partir dun LFS Linux from scratch et compiler uniquement les modules, drivers et paquets ncessaires afin doptimiser intgralement le noyau nest pas donn tous, cela reste manuel, long et complexe et, de plus, aucun suivi de version nest applicable automatiquement. Il faut mettre en place sa propre gestion des dpendances De lautre ct, il y a ceux qui souhaitent mettre en place simplement et rapidement un systme de base (Debian, CentOs, Red Hate) ou, mieux, utilisent des variantes comme le mode Hardened (HLFS) afin de renforcer nettement le niveau de scurit. Ce mode intgre nativement des mcanismes de scurit sur la pile IP de lOS, limite lexcution des binaires, des scripts et autres attaques et n'utilise que les drivers ncessaires coupls uniquement aux services activs par ladministrateur et utiles la ToIP comme par exemple, le WEB, DHCP, NTP, TFTP, lAsterisk, le Manager Asterisk, SSH, relay mail En rsum, la plupart des personnes concernes utilisent simplement un systme de base et se dirigent vers un Hardened lorsquelles sont sensibles la scurit. Le LSF est gnralement rserv au Geek , aux constructeurs et/ou diteurs. Dans un autre registre, le paramtrage dAsterisk joue un rle essentiel dans la scurit de la solution de t-

Nombre total de vulnrabilits de la voix sur IP

60 50 40 30 20 10 0
2002 2003 2004 2005 2006 2007 2008

Figure 1. Hausse rapide des vulnrabilits depuis 2006 (source: NVD)

hakin9.org/fr

DOSSIER

lphonie sur IP. En effet, lAsterisk est un service fond sur un ensemble de fichiers de configuration en commenant par le SIP.conf permettant de configurer les comptes SIP utilisateurs (SDA, nombre dappels simultans max, Nom Prnom), les contextes auxquels ils sont rattachs, les CODEC utiliser, la gestion des droits dappels cest ce fichier qui, par exemple, vous autorise ou non appeler un 06, 08, linternationalet liste les services de ToIP que vous pourrez utiliser (double appel, conf call, voicemail). De plus, le fichier extension.conf permet dtablir un dial plan, dautres types de contextes (interne/externe), des macros, la gestion des renvois pour autoriser ou non un renvoi vers 06 ou 08. Une partie de la scurit du service Asterisk s'appuie, entre autres, sur le manager.conf . Ce fichier reprsente ladministration du noyau Asterisk (Figure 2 : manager Asterisk ).. Une des bonnes pratiques consiste crer uniquement un compte super Administrateur et bien paramtrer le niveau de droit des utilisateurs lambda (users) et des autres administrateurs dlgus (Originate). Voici la synthse des lments paramtrables via le manager . Nb : Il est, entre autres, recommand dutiliser le SSH et dactiver le mode de connexion SSL linterface WEB du manager ou simplement de la dsactiver. LAsterisk s'appuie aussi sur dautres fichiers de configuration comme le CDR.conf pour la gestion et le paramtrage des logs du call flowle fichier CDR.manager.conf , le H323.conf , iax.conf , queues.conf , etc Gnralement et de plus en plus, les utilisateurs comme les administrateurs sont friands dutiliser une interface WEB (surcouche dadministration) pour le paramtrage et ladministration de lAsterisk et de ses services. Elle doit bnficier de diffrents niveaux de scurit. A minima, trois niveaux par exemple Root , Admin , utilisateur qui permet dautoriser ou pas certaines modifications (ex : modification

adresse mail, SDA, plan de SDA, renvoi, supervision) sans passer directement par les fichiers de configuration dAsterisk. Il est aussi important de slectionner le bon driver TAPI pour les postes de travail et le click to dial par exemple, afin de ne pas tre oblig doctroyer des droits supplmentaires sur le manager un utilisateur lorsquil tente dutiliser cette fonction. (De plus, si quelquun coute les flux ou utilise un sniffer, il a de grandes chances de rcuprer le mot de passe administrateur du manageril est donc prfrable dutiliser le mode originate ) Dautre part, le mode dauthentification des tlphones IP reste somme toute assez basique, puisque certains flux sont en clairs et puisque le challenge est ralis avec un hash simple en "MD5" et pas de chiffrement Ce qui renforce limportance de la politique de mot de passe. Pour finir, les nouvelles releases en test bnficient dj de certaines rponses (V1.6.2) et davances en matire de scurit comme le support TLS pour le SRTP, le renforcement de certains mcanismes de scurit ou encore le support du T140 pour les messages texte, le support du SS7 dans DAHDI, lamlioration des CDR, de la gestion du Dial Plan, du MeetMe , des files dattente, des nouvelles fonctions SIP et bien dautres

Les problmes protocolaires

La ToIP est maintenant une partie intgrante des rseaux LAN (voir la rubrique sites web), elle est donc soumise un ensemble de problmatiques purement rseau dont voici quelques exemples quelques soit les constructeurs Le Dni de service (DoS) sur VoIP qui consiste lancer une multitude de requtes, flooding SIP , TCP syn ou UDP , (par exemple, demandes denregistrement et d'appels) jusqu' saturation des services VoIP. Ces types d'attaques ciblent souvent les serveurs, les passerelles, les proxy ou encore les tlphones IP qui voient leurs ressources sont rapidement puises par ces requtes dont lobjectif est de perturber voire mettre hors service le systme cibl. Une autre attaque galement rpandue consiste envoyer des commandes BYE au tlphone afin de mettre fin la conversation en cours La manipulation du contenu multimdia et des signaux est une attaque qui permet dinjecter un fichier son dans un flux RTP par le biais dune attaque RTP Insertsound . Attaque par relecture ou Dtournement d'enregistrement de sessions autorises obtenues grce une analyse de trame par un sniffer sur le rseau ou par interception de trafic. Cette atta7/2010

Figure 2. manager Asterisk

10

ASTERISK et les techniques de hack de la tlphonie sur IP !

que se droule au niveau du protocole SIP, elle utilise la commande Register qui sert localiser un utilisateur par rapport son adresse IP. Le pirate peut alors rejouer ces sessions de register valide en modifiant uniquement ladresse IP de destination en sa faveurCette attaque est due au fait que le protocole SIP transite une partie des informations en clair, il est donc possible de mettre en place du SIPS qui intgre des mcanismes dauthentification et assure lintgrit des donnes. Le Man in the Middle (figure 3 : exemple dchange protocolaire) (MITM) est une des attaques les plus connues ; elle permet lassaillant de se positionner entre le client et le serveur afin dintercepter les flux cibls qui sont changs. Le pirate usurpe alors ladresse MAC (spoof MAC) de ces 2 parties par lempoisonnement du cache ARP des switches (ex: Ettercap + plugin chk_poisoning ) afin dtre transparent dans ces changes. Les donnes transitent alors au travers du systme pirate. Dans le cas de la ToIP cette technique est utilise pour lEavesdropping ( Oreille indiscr-

te ) lui permettant ainsi dcouter et denregistrer les conversations entre les interlocuteurs mais aussi de rcuprer un ensemble dinformations confidentielles. cette technique est aussi utilise pour dautres protocoles (SSL, DNS, SSH) Le switch jamming (figure 4 : ARP spoofing attaques) est une attaque qui consiste saturer le plus rapidement possible les tables de commutation dun commutateur avec des milliers de paquets contenant de fausses adresses MAC (flooding MAC) dans le but de le transformer en mode rpteur (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports. Nb : cette attaque ne fonctionne pas avec tous les commutateurs et elle est gnralement peu discrte La dviation par un paquet ICMP consiste utiliser un gnrateur de paquet du type frameip.exe (disponible sur internet) et forger ses propres paquets ICMP de dviation (type 5) destination du client afin de lui indiquer que la route utilise nest pas optimale et lui communiquer par la mme occa-

Client

Attacker

Server

Alice INVITE

Proxy 1

Proxy 2

Bob

INVITE Trying Trying Ringing Ringing

INViTE Ringing

OK OK OK

AC K Communication multimdia BYE OK

Figure 3. exemple dchange protocolaire

hakin9.org/fr

11

DOSSIER

sion la nouvelle route qui permettra de rediriger les flux vers un hte pirate qui ferait office de passerelle. Lobjectif de cette attaque est multiple : coute, enregistrement (comme pour MITM), DoS Il est important de noter que cette attaque ne permet pas de rediriger le trafic d'une connexion entre deux machines du mme rseau local (mme plan adresse IP) puisque le trafic chang ne passe pas par une passerelle. VLAN Hopping consiste dcouvrir le N de VLAN attribu la ToIP (en rcuprant la VLAN Database, utilisation dun snifer) dans un environnement LAN et de marquer des trames Ethernet directement dans ce VLAN en forgeant ses propres trames. Cette technique permet de saffranchir dune partie de la scurit associe aux VLANs (label spoofing) Dans certains cas, un simple brute force sur le serveur TFTP officiel permet de tlcharger la configuration complte dun quipement et dapprendre un certain nombre dlments En SIP, les quipements bnficient dune relle intelligence embarque contrairement aux MGCP par exemple il est donc possible de demander un tlphone dafficher lors dun appel son destinataire un numro de tlphone diffrent du sien. En interne, cela na que peu deffet. Pourtant, une personne pourrait prtendre appeler depuis le centre de scurit ou le bureau du directeur et demander lexcution dactions particulires par exemple. De lextrieur, tre discret, se faire passer pour quelquun autre, ou encore afficher systmatiquement pour tous les appels sortants, un numro tiers pirate (modification sur passerelle ou IPbx). Lorsque les destinataires tenteront de recontacter leurs collgues et/ou partenaires en faisant BIS ou rappeler dans lhistorique des appels, ils tomberont systmatiquement sur le numro (payant)quitaitaffich(ex:1,4parappel).

Ports gnralement utiliss en ToIP


TFTP MGCP LDAP Backhaul (MGCP) Tapi/Jtapi http SSL SCCP Skinny SNMP SNMP Trap DNS SIP SIP/TLS H.323 RAS H.323 H.225 H.323 H.245 H.323 Gatekeeper Discovery RTP NTP

UDP 69 UDP 2427 TCP 389 UDP 2428 TCP 2748 TCP 8080/80 TCP 443 TCP 3224 TCP 2000-2002 UDP 161 UDP 162 UDP 53 TCP 5060 TCP 5061 TCP 1719 TCP 1720 TCP 11000-11999 UDP 1718 16384-32767 UDP 123

Ensuite, au niveau des applications


Aprs avoir amlior la scurit sur vos rseaux et vos protocoles, il reste nanmoins dautres points noirs comme les interfaces graphiques des IPbx, lusage du mode HTTPS nest pas forc, voire non activ ! De plus, au niveau des stations de travail, lauthentification aux pages dadministrations de lIPbx et/ou des interfaces utilisateurs peut tre couple des cookies ou du NTLM qui ne sont pas forcement un gage de scurit... et encore moins quand lutilisateur demande son navigateur de garder les mots de passe en mmoire Dautre part, il existe un nombre de failles et/ou de vulnrabilits non ngligeable directement sur

Utilisateur 1

Utilisateur 2

<< Spoof Mac Address >>

Ethernet Switch

<< Spoof Mac Address >>

<< Switch Jamming >>

Attaquant << Man in the Middle >>

Figure 4. ARP spoofing attaques

12

7/2010

ASTERISK et les techniques de hack de la tlphonie sur IP !

les interfaces des IPbx, excution force de script comme le cross site scripting ou autres, la falsification des requtes inter-sites, injections de donnes Plus simplement, par dfaut, les quipements ToIP bnficient de services standard activs (ex : telnet ouvert, port SNMP et read/write avec community name par dfaut, interface Web de configuration de lquipement permettant la modification de la configuration en http, rcupration dinformations directes, statistiques, reboot distance, port de troubleshooting, authentification basique, Services echo et time ouverts) Toutes ces inattentions sur les quipements facilitent souvent les actions d'une personne mal intentionne

Quelques techniques utilises par les pirates

Gnralement, un simple Snifer sur votre LAN permettra un pirate de rcuprer une multitude dinformations telles que les protocoles utiliss sur votre rseau, (CDP, STP, DNS, DHCP, LDAP, MAPI) et dobtenir des renseignements sur votre plan adressage IP, vos VLANs, codecs utiliss, utilisateurs, login, mot de passe, dcouverte de vos infrastructures, de la topologie, la marque des quipements, les IOS, vos serveurs, leurs OS et versions, version des applications Le fuzzing est une mthode permettant de tester les logiciels et de mettre en vidence des dysfonctionnements potentiels, afin de constater la raction du systme lorsqu'il reoit de fausses informations. Cette mthode utilise un certain nombre doutils de scurit utiliss notamment lors daudits, mais certaines personnes mal intentionnes sen servent dans le but de trouver et exploiter des failles (compte administrateur, augmentation des dlais, DOS, coute). Spam VoIP ou SPIT (Spam Over Internet Telephony) - le SPIT est, comme son nom lindique, un SPAM dont l'objectif est la diffusion d'un message publicitaire en initiant et/ou relayant un maximum dappels laide de Bots destination de millions d'utilisateurs VoIP depuis le systme compromis. Cette technique a de multiples consquences, comme la saturation du systme, des MEVO, des communications simultanes Une utilisation dtourne du SPIT consiste aussi initier un maximum dappels destination de N surtaxs dans le but denrichir des organisations malveillantes Vishing (Voice Phishing) Cette technique est comparable au phishing traditionnel, dans le but dinciter des utilisateurs divulguer des donnes confidentielles, voire sensibles (par exemple : noms d'utilisateur, mots de passe et ou numros de compte, N de scurit sociale, code bancaire, adresses, coordonnes). Dans notre cas, cest un

SPIT qui diffuse un message demandant aux utilisateurs dappeler un numro spcifique pour vrifier les informations en questions et il ne reste plus qu attendre que le tlphone sonne . Aprs avoir rcupr ces donnes, le pirate les utilise ou les vend des tiers ! Vol d'adresses lectroniques Lusage du Voicemail se multipliant, chaque utilisateur ou presque bnficie dune adresse de messagerie lectronique associe, cette attaque consiste bombarder le serveur de voicemail du domaine ToIP avec des milliers dadresses mail de test (ex : nom. prenom@client.fr / nomprenom@client.fr / nom@ client.com...). Chaque adresse non valide est retourne, pour le reste, lattaquant peut ainsi en dduire un certain nombre dadresses mail valides quil pourra alors utiliser sa guise pour dautres attaques (SPIT, Vishing, SPAM mail). Dtournement de trafic ou Phreaking , est une mthode historique ds les dbuts de la tlphonie, elle consiste ne pas payer les communications et rester anonyme. En ToIP, ce dtournement s' effectue aprs rcupration d'un couple login/pass valide ou aprs accs physique d'un utilisateur non autoris un tlphone. Les pionniers du Phreaking (Cf figure 5). Imaginons maintenant que le pirate ait russi (par diffrents moyens) obtenir un login aux droits suffisants pour modifier la configuration de votre Ipbx. Il peut alors paramtrer un Trunck destination dun autre IPbx et organiser la revente de minutes par dizaines de milliers dans un autre pays en utilisant le mme concept.

Exemple de quelques outils

SIPtap, Wireshark, VOMIT (Voice Over Misconfigured Internet Telephones), VoIPong, NESUS, nmap, troyens divers, UCSniff (ARP Saver, VLAN Hopping), Digitask pour skype, SIVUS, Teardown, Cain, Backtrack, Dsniff, YLTI, scapy, SIPcrack

Figure 5. accs physique d'un utilisateur non autoris un tlphone

hakin9.org/fr

13

DOSSIER

Quelques exemples de bonne pratique et de solutions

Rassurez-vous, il existe un ensemble de techniques pour contrer ces attaques . Cependant, il est conseill de faire appel des experts qui vous accompagneront dans cette dmarche et seront pdagogues. Le risque ZERO nexiste pas, gnralement, en matire de scurit, il est assez simple de mettre en place un niveau de scurit de lordre de 70% 80% de protection contre les attaques, qui reprsente le premier palier de scurit bien suffisant pour une entreprise lambda. Toujours simple, mais cette fois-ci, cela ncessite un investissement afin datteindre les 85% 90% de scurit pour une entreprise. Ensuite, dpasser les 90%95%devientpluscompliquetncessiteune expertise et des investissements lourds. Pourtant, ce niveau de scurit est primordial pour une banque, une assurance, ou encore, les grandes industries dont le chiffre daffaires dpend en majorit de la stabilit de leurs systmes dinformations, de tlphonies (centre dappel) Il existe enfin un niveau ultime de scurit, aux niveaux gouvernemental, arospatial, renseignements, services spciaux, armesqui doit atteindre au minimum les 99%. Non seulement ce niveau requiert des infrastructures consquentes mais galement une relle expertise 24/7. Pour en revenir notre focus sur la scurit de la tlphonie sur IP, il est important de mener la rflexion scurit en amont en phase de design de l'architecture de ToIP. Lamlioration des niveaux de scurit passe, entre autres, par le respect de bonnes pratiques et lapplication de solutions efficaces dont en voici quelques exemples : Mettre en place une relle politique de Mot de passe dj difficilement gre pour les comptes des stations de travail et encore moins pour les comptes de tlphonie sur IP (complexit, dure de validit, longueur mini) Mettre en place des VLAN et/ou VRF ddie ainsi quune solution de supervision/monitoring de vos infrastructures LAN/WAN et Voix afin de cloisonner vos rseaux et de bnficier dindicateurs spcifiques Intgrer aux tableaux de bord scurit des systmes dinformations (TBSSI)

Des solutions existent en matire de dtection dattaque (IDS/IPS) et/ou de modification suspicieuse sur le protocole ARP avec Arpwatch ou snort , ou mcanisme basique dans le monde du switching comme le port security qui limite le nombre dadresses MAC utilisables par port, ou encore du 802.1x Implmenter des pare-feux Statefull nouvelle gnration avec une reconnaissance protocolaire plus avance (ADN applicatif) Scurisation des protocoles SIP et RTP par lutilisation de PKI (Public Key Infrastructure) et la mise en place du SIPS , SRTP , SRTCP utilisant le DTLS RFC 4347 Limiter les accs aux personnes non autorises (contrle daccs), ne pas autoriser les prestataires se connecter au LAN, ni WIFI (hors guets), toujours tre prsent en salle serveurs lors dintervention et tracer les accs aux zones critiques. Suppression des anciens comptes et/ou inutiles, suppression des logiciels ou modules inutiles sur lIPbx et les stations de travail. Matrise et limitation des softphones Mettre en pratique la surveillance et lexploitation des logs dinfrastructures Dautre part, larchitecture physique ou logique du rseau LAN est trs importante. Certains ont pour philosophie de maintenir deux rseaux physiquement spars, dautres sont partisans d'une plus grande flexibilit de mise en place de VLAN Ct WAN, ne jamais exposer son IPBX par une IP Public mme nate , ni en DMZ publique et/ ou directement lextrieur mme un module spcifique cet usage est propos, privilgier le mode VPN SSL ou IPSEC par le biais du firewall. Si ncessaire, envisager lajout de botier de chiffrement matriel. Etc

Sites web

DAVID HUR PROJECT DEPARTMENT MANAGER FRAMEIP


Responsable du bureau dtude de FrameIP, passionn et expert en rseau, scurit et tlphonie sur IP, japporte ma contribution et mon retour dexprience dans un esprit de partage. Entre autre, confrencier pour des coles dingnieur et des sminaires technologiques (ToIP, Vido, QoS et optimisation WAN, PCA). David.hure@frameip.fr 7/2010

http://www.frameip.com/voip/ http://www.frameip.com/smartspoofing/ http://www.architoip.com/entete-sip/ http://www.architoip.com/toip-open-source/ http://www.authsecu.com/sniers-reseaux-commutes/sniffers-reseaux-commutes.php http://www.authsecu.com/achage-news/1085-news-securite-les-pare-feux-%22nouvelles%22-generation.htm

14

Scurit rSeaux

Serveurs mandataires comment les utiliser ?


Paul amar
Sintresser larchitecture de son propre rseau ou celui dune entreprise ncessite de faire de nombreux choix quant linfrastructure.

cet article explique...


Le principe des diffrents types de serveur mandataire dans la scurit informatique, leurs utilisations.

ce qu'il faut savoir...


Notions en rseau, architecture informatique.

eaucoup d'objectifs sont demands comme loptimisation, la performance ou la scurit. Les critres sont varis et demandent dtre tudis de faon rigoureuse comme la scurit, par exemple, pour que notre infrastructure ne contienne aucune faille susceptible d'tre exploite par un pirate. Nous verrons ensemble ce que sont les serveurs mandataires, communment appels proxys , et le rle qu'ils jouent dans la scurit. Aprs la prsentation des proxys dits simples et les proxys inverss, nous nous intresserons leur utilisation au sein dun rseau.

Les utilits dun serveur mandataire

Un serveur mandataire ou encore proxy est un serveur qui travaille au niveau application. Il est li un protocole prcis, comme, par exemple, le protocole HTTP. (Protocole utilis pour le Web) Cette fonction du proxy consiste relayer des demandes dinformations dun rseau vers un autre. De faon plus gnrale, le fonction premire dun proxy est le relai des requtes dun poste client vers un poste serveur (le principe-mme de la communication). Le proxy joue un rle dintermdiaire entre cesx deux entits (cf Figure 1). Les deux entits doivent pouvoir communiquer sans problme, sans perte ni altration de donnes. Certains ne voient peut-tre pas encore lutilit dun serveur mandataire, pourtant il assure de nombreuses fonctions telles que :
16

Mise en cache dinformations : si certaines informations sont demandes rgulirement (ex : pour une recherche identique et rpte sur Google.fr, la page reste la mme). Un serveur proxy peut garder en cache certaines informations comme la page de Google, et ainsi l'afficher de nouveau au client qui la redemande procurant ainsi un gain rl en performance sur le rseau, car moins de requtes sont envoyes. Logs des requtes : le serveur mandataire peut, chaque nouvelle requte reue la stocker dans des fichiers de logs, conservant ainsi une trace des activits sur le rseau. Cette mthode s'utilise pour centraliser les requtes sur un serveur proxy particulier. (ex: uUniversit qui cherche avoir un log de toutes les requtes faites en son sein) Une entreprise rencontrant des problmes judiciaires pourra toujours se dfendre grce aux logs de ses serveurs (sils nont pas t falsifis) et qui comportent des informations comme : Qui se connecte ? Depuis o ? Que fait la personne ? Son historique peut mme tre conserv. La scurit : supposons un parc informatique dune centaine dordinateurs. Si tous les postes ont accs internet via le serveur proxy, les informations y sont centralises. Dans le cas dun problme au niveau du rseau informatique dpourvu de proxy, chaque ordinateur pourrait accder internet directement ; il faudrait auditer tous les postes pour savoir lequel est dfaillant. Le fait dutiliser un serveur proxy centralise toutes les
7/2010

Serveur mandataires

requtes, optimise la gestion du rseau (en utilisant son cache) et en cas de problme, regarder seulement les logs du serveur proxy pour avoir une ide gnrale du problme soulev. Le filtrage : comme indiqu plus tt, centraliser les requtes sur un serveur proxy permet de garder la main sur certaines activits rseau dun usager. Au lieu de mettre des rgles de filtrage tous les postes sur le rseau, les mettre uniquement sur le serveur proxy, il sera alors interrog ds quun des postes souhaitera faire une action spcifique. Il ny a pas de risque de corruption de la machine (contournement des rgles de scurit concernant le filtrage) et toutes les informations sont centralises. Il y a l aussi une meilleure performance concernant la maintenance du parc informatique car sil faut changer certaines rgles, seules celles du serveur proxy devront ltre. Le filtrage peut se faire en fonction de nombreux critres : adresse IP, Paquets, Contenu, par personnes authentifies, (ex : dans une entreprise, faire en sorte que les sites de jeu en ligne etc. soient bannis). Lauthentification : un proxy est indispensable dans la communication des deux entits, si elles sont bien configures. Ds lors, le proxy servira identifier les utilisateurs avec un login / password. Un mauvais login n'aura pas accs aux ressources demandes. Cela ajoute une autre couche non ngligeable de scurit dans notre infrastructure. Un pirate verra ses actions limites jusqu ce quil trouve le couple login / password qui convient.

ladresse http://www.site.com car elle nest pas dans son cache. Elle sera ensuite achemine Pierre qui aura sa page. Si Jean veut accder la page quelques minutes plus tard, la requte arrivera au serveur proxy qui recherchera cette page dans son cache. Dans l'affirmative, il la renverra directement Jean sans passer par le site en question afin dviter la surcharge de requte. Ce systme permet dviter un minimum la congestion dun rseau, rduit lutilisation de la bande passante tout en rduisant le temps daccs (cf Figure 2). Soit les donnes du cache sont stockes dans la RAM (c'est--dire la mmoire vive du serveur), soit elles le sont sur le disque. Il ne faut pas quil garde la page indfiniment mais quil vrifie si, sur le site distant, la page est toujours la mme. (ex : un site dactualit informatique sera diffrent tous les jours (voire toutes les heures), la page dans le cache doit tre change rgulirement). Des serveurs proxy existent pour de multiples services sur internet comme http, FTP, SMTP, IMAP,

Le reverse-proxy

Les diffrents types de serveurs mandataires

Le proxy simple joue le rle dun intermdiaire entre les ordinateurs dun rseau local et Internet. La plupart du temps, nous entendons parler de proxy http ou encore https qui sont les plus courants sur la toile. Ils sont souvent utiliss avec un cache, permettant ainsi dviter une surcharge sur le rseau et daccder plus vite la page. Prenons le cas o Pierre veut accder la page de : http://www.site.com . La requte de Pierre passera par le serveur proxy du rseau local qui cherchera la page

Le reverse proxy, linverse du proxy simple est quil permet aux utilisateurs dinternet daccder des serveurs propres au rseau interne. Ds lors, le terme reverse commence avoir du sens, tant donn quil ralise linverse dun proxy simple. De nombreuses fonctionnalits des reverse proxys se rvlent parfois utiles, comme la protection des serveurs internes contre des attaques directes. Puisque les requtes sont interceptes par le proxy, il est donc en mesure de les analyser et les scuriser si besoin pour viter des problmes de scurit sur le serveur. Le reverse-proxy sert de relais pour les utilisateurs souhaitant accder un serveur interne. Paralllement, le proxy offre des avantages comme la notion de cache qui soulage les charges du/des serveurs internes. La page daccueil dun site Web peut tre garde dans le cache du proxy et ainsi, le trafic vers le serveur Web est allg.

Patrick veut contacter Alice

Le proxy contacte Alice pour Patrick

Patrick Le proxy rebascule la rponde d'Alice

Le serveur mandataire Le serveur mandataire reoit la rponse d'Alice

Alice

Figure 1. Schma thorique dun serveur mandataire simple. hakin9.org/fr


17

Scurit rSeaux

De plus, imaginons une infrastructure dans laquelle deux serveurs auraient les mmes fonctionnalits (ex: serveur Web). Le reverse-proxy ferait du load-balancing , c'est--dire de la rpartition de charge concernant les serveurs. Les requtes sont alternes en fonction des deux serveurs vitant ainsi la congestion susceptible de provoquer un dysfonctionnement du serveur comme un dni de service (cf Figure 3). Traitons maintenant des proxys dits SOCKS . SOCK est un protocole rseau ; il permet des applications client/serveur demployer de manire transparente les services dun pare-feu. SOCKS est labrviation de socket et est une sorte de proxy pour les sockets . En soit, les proxys SOCKS ne savent rien du protocole utilis au-dessus (que ce soit du http, ftp, ), cf Figure 4. Certains lauront peut-tre compris, SOCKS est une couche intermdiaire entre la couche applicative et la couche transport (daprs le modle OSI). Ces proxys diffrent du proxy traditionnel qui ne supporte que certains protocoles. Ils sont plus modulables et sont ainsi aptes rpondre des besoins varis. Deux composants sont ncessaires quant lutilisation dun serveur mandataire SOCKS qui sont : Le serveur SOCKS est mis en uvre au niveau de la couche application

autres types de serveurs mandataires

Le client SOCKS est mis en uvre entre les couches application et transport Pour ce qui est du mode de fonctionnement : Lapplication se connecte un proxy SOCKS Le serveur mandataire vrifie la faisabilit de la demande Il transmet la requte au serveur si cest faisable Cependant, il existe dautres types de serveurs mandataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception), qui ne seront pas dcrits dans cet article. Nous allons maintenant nous intresser une tude de cas dun reverse-proxy au sein dune entreprise, et son utilisation (dun point de vue scurit) dans lentreprise.

tude de cas au sein dune entreprise

Prenons en exemple une entreprise basique : actuellement, la plupart des compagnies ont leur propre site web afin de prsenter les produits, prestations de services quils offrent. Idalement, cela signifie que leur rseau informatique doit comporter un serveur Web. Imaginons que nous utilisions un reverse-proxy qui permettrait laccs ce serveur Web. Quelle serait lutilit dun tel quipement ? Les fonctionnalits de serveurs mandataires et des reverse-proxy en gnral ont t licits. Le reverse-proxy ncessaire serait utilis pour les protocoles HTTP/HTTPS puisque cest un serveur Web.

Le proxy va alors (si c'est possible) envoyer la requte vers Jean

Pierre veut contacter Jean, il passe par le proxy

La requte arrive Jean

Jean Pierre Le proxy rebascule la rponse de Jean Le serveur mandataire Jean peut alors recommuniquer avec Pierre par l'intermdiare du proxy

Le serveur mandataire reoit la rponse de Jean

La toile

Figure 2. Utilisation dun serveur mandataire simple.

18

7/2010

Nous utiliserions cet quipement pour quil contrle les requtes envoyes en plaant certains filtres afin d'viter des attaques (quelles soient de type XSS, SQL Injection, XSHM, XSRF,). Selon le besoin en bande passante, nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandes. Cela aurait pour effet de rduire lusage de la bande passante, de ne pas congestionner le rseau et de procurer plus de rapidit aux internautes. De plus, lutilisation dun reverse-proxy viterait certains DoS (Dni de Service) qui ne seraient pas de trs forte intensit et allgerait les charges sur le serveur Web interne. Si lentreprise est assez importante, elle pourrait disposer de plusieurs serveurs Web similaires (pour viter qu'en cas de panne, le site ne soit plus du tout accessible) ; le reverse-proxy raliserait du load-balancing, savoir enverrait les requtes l'un des deux serveurs Web, de faon gale pour rpartir les tches. Dans un second temps, afin de centraliser toutes les requtes vers lextrieur, un proxy interne serait envisager. Comme expliqu dans les rubriques prcdentes, cela peut tre intressant pour raliser des filtrages. Afin dviter daccder du contenu non sollicit (ex : des sites de jeux en ligne au travail), tous les postes du parc informatique iraient sur internet en passant par un serveur proxy simple. Les rgles de filtrage ne seraient alors qu ajouter au serveur proxy qui les prendrait en compte pour chaque requte reue. Puisque cet quipement ne serait pas accessible depuis les autres ordinateurs, il y aurait moins facilement de contournement des rgles de scurit. En outre, si un problme persiste sur le rseau, le serveur proxy (intermdiaire entre le rseau priv et la toile) diagnostiquerait ce problme. Grce la journalisation et les logs du trafic, il est possible de remonter aux postes infects au lieu de chercher le(s) problme(s) sur tout le parc informatique. Vous laurez remarqu, les possibilits sont nombreuses quant leurs utilisations.

annexes

http://fr.wikipedia.org/wiki/Proxy - Article de Wikipdia sur les serveurs mandataires http://fr.wikipedia.org/wiki/R%C3%A9partition_de_charge Article concernant le phnomne de load-balancing ou encore rpartition de charge http://www.commentcamarche.net/contents/lan/proxy. php3 - Article intressant sur le site CommentCaMarche. net http://www.squid-cache.org/ - Squid, Proxy pouvant utiliser les protocoles FTP, HTTP/HTTPS et Gopher (peut servir de Reverse-proxy) http://varnish-cache.org/ - Autre reverse-proxy Varnish http://imapproxy.org/ - Proxy utilisant le protocole IMAP

hakin9.org/fr

Scurit rSeaux

Pierre veut contacter le site web http:// website.com

Rseau interne de l'entreprise. Le serveur mandatire recolt la requte de Pierre Aprs avoir scuris/ loggu la requte etc. Il l'envoie au serveur Web interne.

Pierre Serveur Web http:// website.com Le serveur Web interne rpond la requte de Pierre Le serveur mandataire renvoie la rponse HTTP Pierre

Reverse-proxy (HTTP)

Pierre reoit la rponse HTTP du reverse-proxy de manire transparente

Figure 3. Utilisation dun reverse-proxy.

Pierre souhaite communiquer l'aide d'un serveur mandataire SOCKS

Si la requte est considre comme faisable, on l'envoie au serveur cible Le serveur SOCKS vrifie la faisabilit

Client SOCK

Le client SOCKS rcupre la rponse si s demande tait l'origine faisable

Serveur SOCKS Le serveur cible rpond

Serveur cible

Figure 4. Utilisation dun serveur mandataire SOCKS.

Cependant, il existe toujours des entreprises qui nutilisent pas ce genre dquipement pourtant trs utile. Leurs raisons sont diverses, notamment une mconnaissance de l'installation d'un tel quipement. Enfin, Une certaine maintenance est ncessaire afin de garder jour les logiciels.

type de serveur dautres systmes tels que des HIDS (Systme de dtection dintrusion), NIDS (Systme de dtection dintrusion rseau), etc. est un bon moyen de scuriser son rseau car les diffrentes traces laisses par les pirates peuvent tre analyses.

conclusion

Nous venons de voir les principaux types de serveurs mandataires utiliss sur la toile et nous avons tent dclaircir certains points, notamment pour les personnes n'ayant que de vagues connaissances des proxys ( savoir, les plus souvent utiliss : les proxys Web). Cependant, il ne faut pas oublier quutiliser un serveur mandataire ne nous protge pas contre tous les risques potentiels sur la Toile. Bien entendu, coupler ce
20

ProPoS de L'auteur
Actuellement en cole dingnieur, Paul tudie diffrents aspects de la scurit informatique. Passionn par la scurit depuis plusieurs annes, il sintresse particulirement la scurit des systmes dinformations et souhaiterait si possible y consacrer sa carrire. 7/2010

Scurit rSeaux

connexion scurise grce SSH


rgis Senet
Protgez vos communications de l'ensemble des actes de piratage en chiffrant vos donnes ! La mise en place de protocole scuris pour les communications distantes est vivement recommande du fait que nous ne pouvons pas savoir qui nous coute chaque instant dans limmensit de linternet. Il est donc temps de remplacer tous ces protocoles et de possder vos accs SSH.
cet article explique...
Lintrt dutiliser des protocoles scuris La mise en place dun serveur SSH

ce qu'il faut savoir...


Connaissance en systme dexploitation UNIX/Linux

SH ou bien Secure Shell est la fois un programme informatique et un protocole de communication scuris. Le protocole de connexion impose un change de cls de chiffrement en dbut de connexion. Par la suite toutes les trames sont chiffres. Il devient donc impossible d'utiliser un sniffer tel que Wireshark pour voir ce que fait l'utilisateur via les donnes quil reoit ou envoi. Le protocole SSH a initialement t conu avec l'objectif de remplacer les diffrents programmes rlogin, telnet et rsh qui ont la fcheuse tendance de faire passer en clair lensemble des donnes dun utilisateur vers un serveur et inversement, permettant une personne tierce de rcuprer les couples de login/mot de passe, les donnes bancaire etc. Le protocole SSH existe en deux versions: la version 1.0 et la version 2.0. La version 1.0 souffrait de

failles de scurit et fut donc rapidement rendue obsolte avec lapparition de la version 2.0. La version 2 est largement utilise travers le monde par une grande majorit des entreprises. Cette version a rgl les problmes de scurit lie la version 1.0 tout en rajoutant de nouvelles fonctionnalits telles quun protocole de transfert de fichiers complet. La version 1.0 de SSH a t conue par Tatu Ylnen, Espoo, en Finlande en 1995. Il a cr le premier programme utilisant ce protocole et a ensuite ouvert une socit, SSH Communications Security pour exploiter cette innovation. Cette premire version utilisait certains logiciels libres comme la bibliothque Gnu libgmp, mais au fil du temps ces logiciels ont t remplacs par des logiciels propritaires. SSH Communications Security a vendu sa licence SSH F-Secure.

22

7/2010

connexion scurise grce SSH

tement conseille pour la scurit ainsi que la stabilit de votre systme dexploitation.

installation de SSH

Dans un premier temps, nous allons raliser linstallation via le gestionnaire de paquet propre un systme Debian, le systme APT (Advanced Package Tool). Nous verrons linstallation via les sources un peu plus tard.
nocrash:~# apt-get install ssh

Installation de SSH en ligne de commande. Les paquets suivants sont des dpendances du paquet SSH : openssh-client client shell scuris openssh-server Serveur shell scuritaire

Figure 1. Logiciel Putty

Au cours de cet article, la distribution utilise fut une Debian 5.0 (Lenny) entirement mise jour. Attention, il est possible que certaines commandes ne soient pas tout fait identiques sur une autre distribution. Lensemble des installations va se raliser grce au gestionnaire de paquets propre un systme Debian : APT (Advanced Package Tool).

installation

installation via les sources

Mise jour du systme

Nous allons prsent voir linstallation via les sources directement disponibles sur le site officiel dOpenSSH (http://www.openssh.org/). Dans lventualit o vous avez dj install OpenSSH via le gestionnaire de paquet comme vu prcdemment, il est ncessaire de le dsinstaller avant de faire une nouvelle installation.
nocrash:~# apt-get autoremove ssh

Il est possible tout moment quune faille de scurit soit dcouverte dans lun des modules composant votre systme que ce soit Apache ou quoi que ce soit dautre. Certaines de ces failles peuvent tre critiques dun point de vue scurit pour lentreprise. Afin de combler ce risque potentiel, il est ncessaire de rgulirement mettre jour lensemble du systme grce divers patches de scurit. Il est possible de mettre jour lensemble du systme via la commande suivante :
nocrash:~# apt-get update && apt-get upgrade

Une fois correctement dsinstall, il est possible de raliser linstallation par les sources :
nocrash:~# mkdir /usr/ssh nocrash:~# cd /usr/ssh/ nocrash:~# wget ftp://ftp.openbsd.org/pub/OpenBSD/ nocrash:~# tar xzvf openssh-5.2p1.tar.gz nocrash:~# cd openssh-5.2p1/

OpenSSH/portable/openssh-5.2p1.tar.gz

nocrash:~# ./configure --bindir=/usr/local/bin -ssh

Le systme dexploitation est maintenant compltement jour, il est donc possible de mettre en place un serveur SSH dans de bonnes conditions. Il est possible de ne pas passer par cette tape mais elle est for-

sbindir=/usr/sbin --sysconfdir=/etc/

nocrash:~# make && make install

En cas derreur, reportez-vous NB.

Figure 2. Nous voici ainsi connect sur notre serveur distant grce Putty hakin9.org/fr
23

Scurit rSeaux

configurations pralable

Sur certaines distribution, afin de pouvoir activer le serveur SSH, il est ncessaire de supprimer un fichier prsent par dfaut, le fichier /etc/ssh/sshd_not_to_be_run avant de pouvoir lancer le serveur SSH.
nocrash:~# rm -rf /etc/ssh/sshd_not_to_be_run

nocrash:~# vi /etc/ssh/sshd_config

Voici les paramtres principaux au bon paramtrage de notre serveur SSH :


Port 22

Une fois le fichier supprim (sil existe), il est possible de passer la phase de configuration.

configuration du serveur SSH

Le fichier regroupant lensemble des configurations du serveur SSH se trouve tre le fichier /etc/ssh/sshd_ config. Nous allons diter ce fichier afin de pouvoir y faire nos modifications.

Cette directive signifie simplement que le serveur SSH va couter sur le port 22 (port par dfaut). Il est possible de faire couter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffrents.
Protocol 2

Cette directive permet de spcifier que seul la version 2 du protocole SSH sera utilise, la version 1 de SSH est obsolte pour des raisons de scurit.
PermitRootLogin no

Cette directive permet dempcher toute connexion distante avec lutilisateur root (superutilisateur). Un accs distant grce avec lutilisateur root par une personne mal intentionne pourrait tre catastrophique pour lintgrit du systme.
PermitEmptyPasswords no

Cette directive permet dinterdire les connexions avec un mot de passe vide, il est indispensable de mettre cette directive no
LoginGraceTime 30

Figure 3. puTTYKey generator

Cette directive permet de limiter le laps de temps permettant de se connecter au SSH


AllowUsers nocrash AllowGroups admin

Ces directives donnent la possibilit de nautoriser que certains utilisateur et/ou groupe
AllowTcpForwarding no X11Forwarding no

Ces directives permettent de dsactiver le transfert de port TCP et le transfert X11

authentification

Il existe deux mthodes afin de pouvoir sauthentifier en SSH sur une machine distante. Ces deux mthodes sont :
Figure 4. Configuration de Putty

Authentification par cl Authentification par mot de passe


7/2010

24

connexion scurise grce SSH

authentification par cl

Lauthentification par cl est un trs bon moyen pour sauthentifier de manire scuris. En effet, des cls asymtriques de type DSA vont tre gnres. Afin de gnrer nos cls DSA, nous allons utiliser la commande suivante :
nocrash:~# ssh-keygen -t dsa

IgnoreRhosts yes

#(mettez ces 2 options no si vous ne voulez offrir enregistr leur cls):

l'accs qu'aux utilisateurs ayant

authentification par mot de passe

Les cls gnres par dfaut auront une taille de 1024 bits, ce qui est largement suffisant pour assurer une bonne protection. Deux cls vont donc tre gnres : Une cl publique prsente dans le fichier ~/.ssh/id _ dsa.pub avec les permissions 644. Une cl prive prsente dans le fichier ~/.ssh/id _ dsa avec les permissions 600.

Lors de la cration des cls, une passphrase vous sera demande, il est important de choisir un mot de passe complexe. En effet, cette passphrase permet de crypter la cl prive (cl devant rester absolument votre seule connaissance). Au cas o vous vous seriez tromp dans votre passphrase, il est toujours possible de la modifier grce la commande suivante :
nocrash:~# ssh-keygen -p

Lauthentification par mot de passe quand elle est une authentification trs simple mettre en place du fait quil ny a rien mettre en place. Il est ncessaire que lutilisateur voulant se connecter possde un compte sur la machine distante et cest tout. Dans lexemple suivant, nous voulons nous connecter avec lutilisateur NoCrash sur la machine rpondant ladresse IP 192.168.1.138. Nous allons donc vrifier que cet utilisateur existe bien avant tout. Dans le cas o il nexisterait pas, il est ncessaire de le crer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no).
nocrash:~# cat /etc/passwd | grep nocrash

nocrash:x:1000:1000:nocrash,,,:/home/nocrash:/bin/bash

Le x juste aprs le login permet de spcifier quun mot de passe est bien prsent. Voici quoi pourrait ressembler le fichier de configuration :
Port 22

La dernire tape avant de pouvoir sauthentifier par cl publique est dautoriser sa propre cl. Pour cela, il est ncessaire dajouter votre cl publique dans le fichier /.ssh/authorized _ keys de la machine sur laquelle, vous voulez vous connecter. Pour raliser cela, il est ncessaire dutiliser la commande suivante :
nocrash:~# ssh-copy-id -i ~/.ssh/id_dsa.pub login@ Adresse_de_la_machine

Protocol 2

ListenAddress 192.168.1.138 ServerKeyBits 1024 PermitRootLogin no IgnoreRhosts yes Compression yes

PubkeyAuthentication no PasswordAuthentication yes

Pour mon exemple :


nocrash:~# ssh-copy-id -i ~/.ssh/id_dsa.pub nocrash@192.168.1.138

A prsent que lensemble des configurations sont faites, il est ncessaire de lancer le serveur SSH. Pour cela, nous allons utiliser la commande suivante :
nocrash:~# /etc/init.d/ssh start

Voici quoi pourrait ressembler le fichier de configuration :


Port 22

Si tout ce passe bien, nous allons avoir le message suivant :


Starting OpenBSD Secure Shell server :sshd.

Protocol 2

ListenAddress 192.168.1.138 ServerKeyBits 1024 PermitRootLogin no AuthorizedKeysFile

Il est alors possible de pouvoir se connecter la machine distante.

connexion
.ssh/authorized_keys

PubkeyAuthentication yes

Afin de se connecter en SSH sur une machine distante possdant un serveur SSH, il est possible dutiliser la li25

hakin9.org/fr

Scurit rSeaux

gne de commande dans le cas o vous tes sous Linux ou MAC. Pour cela, voici la commande utiliser (voir Figure 2) :
nocrash:~# ssh login@ Adresse_de_la_machine

Pour cela, il est ncessaire dinstaller John The Ripper, un utilitaire de cassage de mot de passe :
nocrash:~# apt-get install john

Soit pour notre exemple :


nocrash:~# ssh nocrash@192.169.1.138

Il est maintenant possible de vrifier vos mots de passe :


nocrash:~# john /etc/shadow

Pour les machines de type Windows, il nexiste pas de client SSH en natif, il est alors ncessaire de passer par des logiciels, tels que Putty (voir Figure 1).

Les mots de passe trouvs sont donc jugs comme tant trop simple, il est prfrable de les modifier.

conclusion

authentification par cl

Comme il est possible de le voir dans lauthentification par mot de passe, nous allons tenter de nous connecter au serveur distant via SSH grce Putty. Putty ne sachant pas grer les clefs gnres par le serveur avec ssh-keygen il faut utiliser lutilitaire puttygen afin de gnrer un couple de cls utilisable. Ouvrez puTTYKey generator puis gnrer une nouvelle paire de cls (voir Figure 3). Cliquez prsent sur Save public key et Save private key afin de sauvegarder les cls. Il est prsent ncessaire de copier la cl publique que vous venez de gnrer sur le serveur distant ladresse suivante : ~/.ssh/
authorized_keys

La mise en place de protocole scuris pour les communications distantes est vivement recommand du fait que nous ne pouvons pas savoir qui nous coute chaque instant dans limmensit de linternet. Il ne faut pas non plus croire que le danger vient simplement de linternet. En effet, la majorit des actes de piratages informatique se font au sein dune mme entreprise par les employs eux-mmes. Il est donc temps de protger vos communications de lensemble de ces voyeurs, il est temps de chiffrer vos donnes, il est temps de remplacer tous ces protocoles laissant vos donnes transiter en claires sur le rseau, il est temps de possder vos accs SSH.

Une fois les cls gnres, il est possible de se connecter avec Putty. Il est ncessaire de spcifier lemplacement de la cl prive dans Connection >> SSH >> Auth avant de se connecter (voir Figure 4).

astuces

Dans le fichier de configuration de ssh soit le fichier / etc/ssh/sshd_config, il nest pas obligatoire mais fortement conseill de modifier le port utilis par SSH. Par dfaut, il sagit du port 22. Ce petit changement permet de brouiller un attaquant qui sattendrais voir un SSH sur le port 22 et non pas sur le port 1998 par exemple :
Port 1998

Afin de vrifier que vos mots de passe sont assez complexes, il est possible de tenter de les casser vous-mmes afin de vrifier si quelquun dautre en est capable.
NB. Si vous systme a rcemment t install, il est possible que certaine librairies soit manquante. Il est ncessaire de les installer : Librairie gcc : apt-get install gcc Librairie libcrypto / SSL: apt-get install
libssl-dev

a PrOPOS De L'auteur...
Rgis SENET est actuellement tudiant en quatrime anne lcole Suprieur dinformatique Supinfo. Passionn par les tests dintrusion et les vulnrabilits Web, il tente de dcouvrir la scurit informatique dun point de vue entreprise. Il est actuellement en train de sorienter vers le cursus CEH, LPT et O ensive Security. Contact : regis.senet@supinfo.com Site internet : http://www.regis-senet.fr Page daccueil : http://www.openssh.com/ 7/2010

26

Succes Story

Succs de HT Bridge
Lobjectif de High-Tech Bridge consiste fournir une valeurajoute ses clients en leur proposant des services de scurit informatique fiables, de confiance et hautement efficaces, bass sur les dernires technologies uniques de son dpartement de Recherche et de Dveloppement.

igh-Tech Bridge SA est une socit genevoise ne en 2007 dont lactionnariat est dtenu entirement par des privs Suisses. Elle propose des services de Ethical Hacking au travers des tests de pntration, des scans de vulnrabilits, des investigations numriques lgales ; elle propose galement ses prestations d'expert en prvention du cyber-crime. Son emplacement stratgique en Suisse garantit confidentialit, objectivit et absolue neutralit. Lobjectif de High-Tech Bridge consiste fournir ses clients une valeur ajoute en leur proposant des services de scurit informatique fiables, de confiance et hautement efficaces, fonds sur les dernires technologies uniques de son dpartement de Recherche et de Dveloppement. Ce dpartement de Recherche en Scurit Informatique permet d'unir les efforts mondiaux des meilleurs experts en scurit. Les experts de High-Tech Bridge s'efforcent en permanence de dcouvrir de nouvelles vulnrabilits et techniques d'attaque avant que des pirates ne le fassent, ce qui lui permet d'anticiper les problmes et de protger au mieux les clients. Depuis Juin 2010, High-Tech Bridge propose des services d'expertise complmentaires, avec ses modules de Scan de Vulnrabilits Automatis et de Veille Scuritaire. Le Directeur du Dpartement de Ethical Hacking de High-Tech Bridge, M. Frdric Bourla, s'exprime sur ce
hakin9.org/fr

sujet : "L'introduction d'un service distinct de Scan de Vulnrabilits Automatis souligne l'avantage concurrentiel de High-Tech Bridge sur le march de l'Ethical Hacking. Aujourd'hui, les socits, en majorit, proposent des scans de vulnrabilits automatiss ou semiautomatiss sous l'appellation abusive de tests de pntration , dont l'approche est radicalement diffrente de celle de High-Tech Bridge. D'aprs notre exprience, plus de 60% des vulnrabilits critiques identifies durant un test de pntration sont dcouvertes lors d'une analyse effectue manuellement par nos experts. Il s'agit gnralement d'un savant mlange de vulnrabilits connues dont la signature finale ne permet pas une dtection efficace par un processus automatis". En mme temps, le directeur du Dpartement de Recherche et Dveloppement de High-Tech Bridge, M. Marcel Salakhoff, introduit un nouveau service exclusif de veille de vulnrabilits 0-Day : "High-Tech Bridge est fire d'tre la premire entreprise suisse proposer ce service unique et de haute qualit. La prestation s'adresse principalement aux grandes institutions financires, aux socits multinationales et aux gouvernements dsireux de rduire au maximum les risques de compromission". L'largissement de sa gamme de services permettra High-Tech Bridge d'augmenter ses parts de march et de poursuivre son expansion sur le march de la scurit informatique en Suisse.
27

Pratique

Supervisez votre rseau grce Nagios


rgis Senet
A lheure actuelle, les rseaux informatiques sont absolument partout. Ils sont devenus indispensables au bon fonctionnement gnral de nombreuses entreprises et administrations. Tout problme ou panne risque d'avoir de lourdes consquences tant financires quorganisationnelles. La supervision des parcs informatiques est alors ncessaire et indispensable.
Cet article explique...
Ce quest Nagios / Centreon / Cacti

Ce qu'il faut savoir...


Connaissance en systme dexploitation Linux et les bases des rseaux

ous appuierons l'ensemble de nos explications sur l'utilisation d'un serveur GNU/Linux fond sur une distribution Debian, la Debian 5.0 (Debian Lenny). La distribution Debian a t choisie pour sa solidit, sa stabilit et sa popularit. NB. Vue la longueur de larticle, nous lavons divis en 2 parties. Vous trouverez la suite de larticle Nagios dans la partie 2.

installations des pr-requis systme

tout moment une faille de scurit est susceptible d'tre dcouverte dans lun des modules composant votre systme, que ce soit Apache, un module du noyau ou quoi que ce soit dautre. Certaines de ces failles sont parfois critiques pour lentreprise, dun point de vue scurit. Afin de prvenir ce risque potentiel, il est ncessaire de rgulirement actualiser lensemble du systme
nocrash:~# aptitude -y update && aptitude -y safeupgrade

bon fonctionnement de lensemble des logiciels installer. Elles ne seront pas toutes dtailles mais une liste des librairies ncessaires est reprsente au Listing 1. Nagios, ainsi que lensemble des outils de supervision que nous allons mettre en place, rsument les activits des machines grce des graphiques plus ou moins avancs. Pour cela, il est ncessaire de disposer des bonnes librairies graphiques :
nocrash:~# libjpeg62-dev aptitude install -y libgd2-noxpm-dev libpng12-dev libjpeg62

Le systme dexploitation est maintenant compltement jour, la mise en place de notre serveur de supervision peut se faire dans de bonnes conditions. Si cette tape n'est pas indispensable, elle est toutefois fortement conseille pour la scurit et la stabilit de votre systme dexploitation.

Le serveur sera constamment lheure, grce un serveur de temps. En effet, si le serveur nest plus la bonne heure, les graphiques et les fichiers de journalisation seront faux, entranant ainsi des erreurs lors de la lecture des donnes. Pour installer un serveur de temps, aussi appel serveur NTP (Network Time Protocol), il suffit dutiliser la commande suivante : Pour toute modification sur la configuration du serveur NTP, il sera ncessaire de modifier le fichier de configuration /etc/ntp.conf mme si des serveurs sont initialement prsents dans ce fichier.
nocrash:~# aptitude install -y ntp-simple ntpdate

installation dun serveur de temps

installation des librairies requises

Durant toute la mise en place du serveur de supervision, de nombreuses librairies seront ncessaires au
28

installation dun serveur de messagerie SMtP

Lors de changement de statut dun hte ou plus, Nagios a la possibilit denvoyer des mails une ou plusieurs
7/2010

Supervisez votre rseau grce Nagios

adresses prdfinies. Mais la prsence dun serveur SMTP est indispensable. Nous utiliserons le trs clbre postfix afin de rpondre nos besoins en la matire (cf Figure 1). Son installation sera ici trs basique nincluant pas toutes les tapes de configuration, doptimisation et de scurit normalement ncessaires. Pour linstallation, voici la commande lancer : Pour le type dutilisation dont nous avons besoin et pour plus de commodit au niveau des configurations, nous choisirons Site Internet.
nocrash:~# aptitude install -y postfix mailx

avec les activits, les graphiques, les utilisateurs etc. cette fin, nous mettrons en place une base de donnes. Nous avons opt pour une base de donnes MySQL car cest lun des SGDB (Systme de Gestion de Base de Donnes) le plus utilis et aussi en raison de sa licence libre (cf Figure 2). Installons donc la dernire version de MySQL :
nocrash:~# aptitude install -y mysql-server-5.0 libmysqlclient15-dev

installation dune base de donnes MySqL

Durant nos installations, de nombreux logiciels devront stocker une trs grande quantit de donnes en rapport
Listing 1. Installation des pr-requis

Une importante partie de la scurit de la base de donnes passe par la complexit du mot de passe. Il est vraiment indispensable qu'il soit complexe, mlangeant chiffres et lettres majuscules ou minuscules. Une fois la base de donnes installe, il faut modifier les droits des fichiers de configuration :

nocrash:~# aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfiginifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl libnet-snmp-perl gettext locales

Listing 2. Installation de SSHGuard


nocrash:~# cd /var/

nocrash:~# wget "http://downloads.sourceforge.net/project/sshguard/sshguard/sshguard-1.4/sshguard-1.4.tar.bz2" nocrash:~# bzip2 -d sshguard-1.4.tar.bz2 nocrash:~# tar -xf sshguard-1.4.tar nocrash:~# rm -rf sshguard-1.4.tar nocrash:~# mv sshguard*/ sshguard/ nocrash:~# cd sshguard/ nocrash:~#./configure --with-firewall=iptables nocrash:~# make && make install

Listing 3. Mise en place des fichiers de configuration Nagios


nocrash:~# mv /etc/nagios3 /etc/nagios3.orig nocrash:~# mkdir /etc/nagios3 nocrash:~# cp -Rt /etc/nagios3 /etc/nagios3.orig/nagios.cfg /etc/nagios3.orig/apache2.conf /etc/nagios3.orig/ stylesheets/ nocrash:~# chown nagios:www-data /etc/nagios3 nocrash:~# chmod ug+w /etc/nagios3

Listing 4. Installation de Centreon


nocrash:~# cd /usr/src/

nocrash:~# wget http://download.centreon.com/centreon/centreon-2.1.1.tar.gz nocrash:~# tar xzf centreon-2.1.1.tar.gz nocrash:~# rm -rf centreon-2.1.1.tar.gz nocrash:~# cd centreon-2.1.1 nocrash:~#./install.sh -i

hakin9.org/fr

29

Pratique

nocrash:~# chown -R root /etc/mysql/


nocrash:~# chmod 740 /etc/mysql/my.cnf

MySQL est galement livre avec un script de scurisation de la base de donnes nomm mysql _ secure _ installation quil est vivement conseill dexcuter :
nocrash:~# mysql_secure_installation

Scurisation du serveur SSH

Pour permettre les communications avec la machine distante, il est ncessaire de mettre en place un serveur SSH permettant une communication chiffre entre le client et le serveur : Une fois le serveur SSH correctement install, il convient dapporter quelques modifications dans son principal fichier de configuration, le fichier /etc/ssh/sshd_config : LoginGraceTime 120 devient LoginGraceTime 30. La directive LoginGraceTime indique en secondes, la dure entre la connexion au serveur dun client et sa dconnexion lorsque le client ne sest pas authentifi. PermitRootLogin yes devient PermitRootLogin no. La directive PermitRootLogin place no interdit
nocrash:~# aptitude install -y ssh

ladministrateur principal (root) de se connecter directement la machine distante. Cest une mesure de scurit mettre obligatoirement en place. SI un accs root tombe entre de mauvaises mains, les consquences pourraient tre terribles. X11Forwarding yes devient X11Forwarding no. La directive X11Forwarding place no interdit lutilisation distance de linterface graphique prsente sur le serveur.

De plus, nous ajouterons la directive suivante la fin du fichier : AllowTcpForwarding no


nocrash:~# echo "AllowTcpForwarding no" >> sshd_config

Linstallation de Molly Guard est une excellente chose. En effet, il peut facilement nous arriver de confondre deux terminaux sur notre machine. Molly Guard demandera donc le nom de la machine afin de confirmer son arrt ou son redmarrage.
nocrash:~# aptitude install -y molly-guard

Pour viter des attaques par dictionnaire ou par bruteforce contre le protocole SSH et destines trouver le mot de passe, il est prfrable d'installer un antibruteforceur au lieu de bloquer compltement le protocole SSH. Cet outil se nomme Denyhosts. Denyhosts est un logiciel tournant en arrire-plan analysant continuellement le fichier de log /var/log/auth.log et qui, au bout de plusieurs vaines tentatives (selon la configuration) de connexions, blackliste l'IP en cause dans le fichier /etc/hosts.deny. Voici commencer installer Denyhosts simplement :
nocrash:~# aptitude install -y denyhosts

Figure 1. Configuration de Postfix

Modifier la configuration par dfaut, ncessite l'dition du fichier de configuration principal de Denyhosts : / etc/denyhosts.conf. Il est possible de coupler Denyhosts avec SSHGuard. SSHGuard ditera les rgles du firewall la vole afin daccepter ou non les htes (voir Listing 2). Lensemble des configurations sera pris en compte aprs le redmarrage du serveur SSH.
nocrash:~# /etc/init.d/ssh restart

installation du serveur web

Figure 2. Choix du mot de passe MySQL

Pour pouvoir profiter de linterface graphique de Nagios, il est impratif de mettre en place un serveur web. Nous avons opt pour un serveur Apache. Apache est le serveur HTTP le plus populaire du Web et il sagit dun logiciel entirement libre. Apache s'installe grce cette commande :
7/2010

30

Supervisez votre rseau grce Nagios

Figure 3. Configuration de Ndoutils pour Nagios


nocrash:~# aptitude install -y apache2 libapache2-mod-gnutls openssl nocrash:~# echo "extension=mysql.so" >> /etc/php5/apache2/php.ini

Le site nous prsentant Nagios ntant pas un site statique, il nous est ncessaire de mettre galement en place lensemble des librairies PHP5 pour une interprtation correcte des pages :
nocrash:~# aptitude install -y php5 php5-gd php5-mysql libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear apache2-threaded-dev

XCache acclre la vitesse du site lors de son affichage ; il sinstalle trs simplement :
nocrash:~# aptitude install -y php5-xcache

Afin dviter lerreur suivante :

Puis, afin que lensemble des configurations soit prit en compte, il est ncessaire de redmarrer le serveur web et la base de donnes :
nocrash:~# /etc/init.d/apache2 restart
ncrash:~# /etc/init.d/mysql restart

Restarting web server: apache2apache2: Could not

fully qualified domain name, using 127.0.1.1 for ServerName

reliably determine the server's

... waiting apache2: Could not reliably determine the server's fully qualified
domain name, using 127.0.1.1 for ServerName

Lorsque vous redmarrez votre serveur Apache, nommez votre serveur de la manire suivante :
nocrash:~# echo "ServerName 127.0.0.1" >> /etc/apache2/apache2. conf

Par dfaut, la librairie MySQL nest pas active ; il est ncessaire de lactiver pour viter tout bug :
hakin9.org/fr

Figure 4. Configuration de Centreon

31

Pratique

Listing 5a. Choix des fichiers de configuration Centreon


Press "Enter" to read the Centreon License, then type "y" to accept it.

[y/n], default to [n]: y Where is the RRD perl module installed [RRDs.pm] RRDs.pm

Do you want to install : Centreon Web Front [y/n], default to [n]: y

default to [/usr/lib/perl5/RRDs.pm]: /usr/lib/perl5/

Do you want to install : Centreon CentCore [y/n], default to [n]: y

Where is PEAR [PEAR.php]

default to [/usr/share/php/PEAR.php]: /usr/share/php/ PEAR.php

Do you want to install : Centreon Nagios Plugins [y/n], default to [n]: y

Where is installed Nagios ? nagios3

default to [/usr/local/nagios]: /usr/lib/cgi-bin/

Do you want to install : Centreon Snmp Traps process [y/n], default to [n]: y

Where is your Centreon directory?

Where is your nagios config directory

default to [/usr/local/centreon]: /usr/local/centreon Do you want me to create this directory ? [/usr/local/ [y/n], default to [n]: y centreon]

default to [/usr/local/nagios/etc]: /etc/nagios3 Where is your Nagios var directory ?

default to [/usr/local/nagios/var]: /var/lib/nagios3 Where is your Nagios plugins (libexec) directory ? default to [/usr/local/nagios/libexec]: /usr/lib/ nagios/plugins

Where is your Centreon log directory centreon/log

default to [/usr/local/centreon/log]: /usr/local/

Where is your Nagios image directory ?

Do you want me to create this directory ? [/usr/local/ [y/n], default to [n]: y centreon/log]

default to [/usr/local/nagios/share/images/logos]: logos

/usr/share/nagios/htdocs/images/

Where is your Centreon etc directory

Where is your NDO ndomod binary ?

default to [/etc/centreon]: /etc/centreon Do you want me to create this directory ? [/etc/ [y/n], default to [n]: y centreon]

default to [/usr/sbin/ndomod.o]: /usr/lib/ndoutils/ ndomod-mysql-3x.o

default to [/etc/sudoers]: /etc/sudoers

Where is sudo configuration file

Where is your Centreon generation_files directory?

default to [/usr/local/centreon]: /usr/local/centreon Where is your Centreon variable library directory? default to [/var/lib/centreon]: /var/lib/centreon

Do you want me to configure your sudo ? (WARNING) [y/n], default to [n]: y

Do you want to add Centreon Apache sub configuration [y/n], default to [n]: y file ?

Do you want me to create this directory ? [/var/lib/ [y/n], default to [n]: y centreon]

Do you want to reload your Apache ? [y/n], default to [n]: y

Where is your CentPlugins Traps binary centreon/bin

default to [/usr/local/centreon/bin]: /usr/local/

Do you want me to install/upgrade your PEAR modules [y/n], default to [y]: y

Do you want me to create this directory ? [/usr/local/ centreon/bin]

Where is your Centreon Run Dir directory?

32

7/2010

Supervisez votre rseau grce Nagios

Listing 5b. Choix des fichiers de configuration Centreon


default to [/var/run/centreon]: /var/run/centreon Do you want me to create this directory ? [/var/run/ [y/n], default to [n]: y centreon] Do you want me to install CentCore init script ? [y/n], default to [n]: y

Do you want me to install CentCore run level ? [y/n], default to [n]: y

Where is your CentStorage binary directory centreon/bin

default to [/usr/local/centreon/bin]: /usr/local/

Where is your CentPlugins lib directory

default to [/var/lib/centreon/centplugins]: /var/lib/ centreon/centplugins

Where is your CentStorage RRD directory

default to [/var/lib/centreon]: /var/lib/centreon Do you want me to install CentStorage init script ? [y/n], default to [n]: y

Do you want me to create this directory ? [/var/lib/ [y/n], default to [n]: y centreon/centplugins]

Where is your SNMP configuration directory default to [/etc/snmp]: /etc/snmp

Do you want me to install CentStorage run level ? [y/n], default to [n]: y

Where is your SNMPTT binaries directory centreon/bin/

Where is your CentCore binary directory centreon/bin

default to [/usr/local/centreon/bin/]: /usr/local/

default to [/usr/local/centreon/bin]: /usr/local/

Nagios, le centre du moteur de supervision

Aujourd'hui, les rseaux informatiques sont absolument partout. Ils sont devenus indispensables au bon fonctionnement gnral de nombreuses entreprises et administrations. Tout problme ou panne risque d'avoir de lourdes consquences, tant financires quorganisationnelles. La supervision des rseaux est alors ncessaire et indispensable. Elle permet, entre autres, davoir une vue globale du fonctionnement et des problmes susceptibles de survenir sur un rseau mais aussi davoir des indicateurs sur la performance de son architecture. De nombreux logiciels libres ou propritaires existent sur le march. La plupart sappuie sur le protocole SNMP. Nous avons choisi dinstaller lun des logiciels les plus connus en matire de supervision de rseau informatique : Nagios. Nagios (anciennement appel Netsaint) est un logiciel libre sous licence GPL permettant la surveillance des systmes et rseaux. Il surveille les htes et services spcifis, alertant lorsque les systmes vont mal et quand ils vont mieux.

installation de Nagios

Les pr-requis tant maintenant prsents, installons Nagios, le moteur de supervision :

Figure 5. Configuration de ladminstrateur Centreon

installation des pr-requis pour Nagios

RRDTool est un logiciel libre distribu sous licence GPL utilis pour la sauvegarde de donnes cycliques et le trac de graphiques. Cet outil a t cr pour superviser des donnes serveur telles que la bande passante, la temprature d'un processeur, ... etc..
nocrash:~# aptitude install -y rrdtool librrds-perl

Figure 6. Fin de linstallation avec succs

hakin9.org/fr

33

Pratique

De nombreuses questions seront poses lors de linstallation, il est ncessaire de choisir les bons fichiers de configuration afin que linstallation de Centreon colle avec notre Nagios dj install (cf Figure 4, 5 et 6). Attention : les valeurs en rouge correspondent aux valeurs diffrentes de celles par dfaut.

installation de Centreon via linterface graphique

Linstallation de Centreon stant bien droule, occupons-nous de sa configuration : elle se ralise grce au navigateur web et cette adresse : La configuration de Centreon de droule en 12 tapes :
Figure 7. Identification de Centreon
nocrash:~# aptitude install -y nagios3 nagios-nrpe-plugin ndoutils-nagios3-mysql

Linstallation de Nagios, grce la commande aptget install, a galement cr un utilisateur un groupe nomms nagios (cf Figure 3). Puisque Centreon utilisera sa propre structure concernant les fichiers de configuration de Nagios, il est ncessaire de les sauvegarder comme reprsent au Listing 3.

L'interface web de Centreon

Centreon est un logiciel de surveillance et de supervision rseau, fond sur le moteur de rcupration d'information libre Nagios. Centreon fournit une interface simplifie en apparence pour rendre la consultation de l'tat du systme accessible un plus grand nombre d'utilisateurs, y compris des non-techniciens, notamment l'aide de graphiques. En effet, lensemble des configurations sous Nagios doivent intgralement se faire travers les diffrents fichiers que propose Nagios. Linstallation de Centreon permettra donc une prise en main plus facile de la supervision de lensemble de nos rseaux.

installation de Centreon

Linstallation de Centreon se fait directement par les sources prsent dans le Listing 4.

Etape 1/12 Il ne sagit que dune phase de bienvenue, cliquez sur Start. Etape 2/12 Acceptez la licence et cliquez sur Next. Etape 3/12 Vrifiez que la version de Nagios est effectivement 3.X puis cliquez sur Next. Etape 4/12 Vrifiez que tout est OK (crit en vert) puis cliquez sur Next. Etape 5/12 Vrifiez que tout est OK (crit en vert) puis cliquez sur Next. Etape 6/12 Cette tape correspond la configuration de la base de donnes. Dans Root password for MySQL, renseignez le mot de passe de la base de donnes puis celui de la base de donnes ndo. Laissez les autres paramtres leurs valeurs par dfaut puis cliquez sur Next. Etape 7/12 Si vous avez spcifi le bon mot de passe pour la base de donnes et que celle-ci est bien dtecte, il ny a rien faire cette tape. Cliquez sur Next. Etape 8/12 Spcifiez ici le nom dutilisateur et le mot de passe de ladministrateur de Centreon (utilisateur avec lequel nous allons nous connecter) puis cliquez sur Next. Etape 9/12 Lactivation de lauthentification LDAP nest pas ncessaire. Laissez les choix par dfaut et cliquez sur Next. Etape 10/12 Vrifiez que tout est OK (crit en vert) puis cliquez sur Next.

Figure 8. Configuration Centreon (partie 1)

34

7/2010

Supervisez votre rseau grce Nagios

Etape 11/12 Vrifiez que tout est OK (crit en vert) puis cliquez sur Next. Etape 12/12 Linstallation est prsent termine, il est ncessaire de cliquer sur Click here to complete your install afin de terminer linstallation et dtre redirig vers la page dauthentification (cf Figure 7). Il est prsent possible de se connecter avec les valeurs renseignes ltape 8.

nocrash:~# cat /etc/default/ndoutils | grep ENABLE_NDOUTILS ENABLE_NDOUTILS =1

Configuration de Centreon

Une fois cette modification faite, accdez Centreon () pour y apporter les modifications montres ci-dessous (cf Figure 8, 9, 10, 11 et 12). Allez dans Configuration -> Nagios -> cgi (menu gauche) puis cliquez sur CGI.cfg Ds lors, modifiez les valeurs suivantes : Physical HTML Path : /usr/share/nagios3/htdocs. - URL HTML Path : /nagios3. - Nagios Process Check Command.
/usr/lib/nagios/plugins/check _ nagios nagios3/status.dat 5 '/usr/sbin/nagios3'. /var/cache/

Avant de procder la configuration de Centreon pour qu'il corresponde exactement aux paramtres de Nagios, activez Ndoutils en modifiant son fichier de configuration /etc/default/ndoutils et en remplaant ENABLE_ NDOUTILS=0 par ENABLE_NDOUTILS=1.

Figure 9. Configuration Centreon (partie 2)

Figure 10. Configuration Centreon (partie 3)

hakin9.org/fr

35

Pratique

Figure 11. Configuration Centreon (partie 4)

Figure 12. Configuration Centreon (partie 5)

Puis cliquez sur Save. Allez dans Configuration -> Nagios -> nagios.cfg (menu gauche), puis cliquez sur Nagios CFG 1. Maintenant, modifiez les valeurs suivantes : Log File : /var/log/nagios3/nagios.log - Downtime File : /var/lib/nagios3/downtime.dat

- Comment File : /var/lib/nagios3/comment.dat - Temp File : /var/cache/nagios3/nagios.tmp - P1 File : /usr/lib/nagios3/p1.pl - Lock File : /var/run/nagios3/nagios3.pid - Object Cache File : /var/cache/nagios3/objects. cache - Status File : /var/cache/nagios3/status.dat - External Command File : /var/lib/nagios3/rw/nagios.cmd

Cliquez prsent sur longlet Log Options et modifiez les valeurs suivantes : Log Archive Path : /var/log/nagios3/archives/ - State Retention File : /var/lib/nagios3/retention.dat

Puis cliquez sur Save. Allez dans Administration -> Options -> CentStorage (Menu gauche) et modifiez cette valeur : - Nagios current log file to parse : /var/log/nagios3/ nagios.log

Figure 13. Export des configurations Nagios vers Centreon


36

Allez prsent dans Configuration -> Nagios et cochez les cases Generate Configuration Files, Run Nagios debug (-v), Move Export Files, Include Comments et Restart Nagios puis slectionnez External command dans Method et cliquez sur Export. Lensemble des configurations Centreon sexporte dans Nagios. lexportation sest correctement droule. Il est prsent possible de terminer la configuration de Nagios.
7/2010

Figure 14. Interface principale de Nagios

Finalisons linstallation de Nagios

A prsent que toutes les installations sont faites, peaufinons les dtails afin de permettre lutilisateur final daccder linterface de Nagios. Pour cela, nous allons modifier lutilisateur nagios afin quil hrite dun shell valide : Dans un deuxime temps, octroyons des droits lapplication afin denvoyer des commandes externes.
nocrash:~# invoke-rc.d nagios3 stop
nocrash:~# usermod -s /bin/sh nagios

nocrash:~# dpkg-statoverride --update --add nagios wwwdata 2710 /var/lib/nagios3/rw

nocrash:~# dpkg-statoverride --update --add nagios nagios 751 /var/lib/nagios3

Dans un troisime temps, il est ncessaire de crer un compte pour lutilisation de Nagios afin que la plate-forme de supervision ne soit pas accessible n'importe qui :
nocrash:~# htpasswd -bc /etc/nagios3/htpasswd.users nagiosadmin <Mot_de_Passe>

Enfin, nous autorisons le protocole SNMP en lecture seule (read only).


nocrash:~# echo "rocommunity public" > /etc/snmp/snmpd. conf

Il est prsent possible daccder linterface de Nagios par cette adresse : . En conclusion, la mise en place dune supervision de tout un parc informatique nest pas une mince affaire. Il est ncessaire de sarmer dune grande dtermination et de patience pour avoir un centre de supervision impeccable. Le trio Nagios/Centreon/Cacti est un trio connu et reconnu pour son bon fonctionnement. Vous trouverez la suite de larticle dans la II me partie : le logiciel Cacti.

auteur
Rgis SENET est en cinquime anne lcole Suprieure dinformatique Supinfo. Passionn par les tests dintrusion et les vulnrabilits Web, il tente de dcouvrir la scurit informatique dun point de vue entreprise. Il s'oriente actuellement vers les certi cations O ensive Security et CEH. Contact: regis.senet@supinfo. com Site internet: http://www.regis-senet.fr hakin9.org/fr

Pratique

Supervisez votre rseau grce Nagios ii partie


regis Senet
Cet article constitue la IIme partie de larticle ddi a la supervision du rseau grce Nagios. Dans cette partie, nous allons nous concentrer sur le logiciel Cacti. Aprs la supervision des machines Windows, nous allons voir galement celle des machines GNU/Linux.
Cet article explique...
Ce quest Cacti Comment mettre en place un bon outil de supervision

Ce qu'il faut savoir...


Connaissance en systme dexploitation Linux et les bases des rseaux

our que les utilisateurs les moins informaticiens comprennent facilement les donnes qui apparaissent dans Nagios, rien ne vaut des graphiques simples et comprhensifs. Il est vrai que Centreon dispose de certains graphiques mais il nest pas recommand de donner lensemble des utilisateurs un accs Centreon qui est la partie administrativedeNagios. Pour cette raison, nous avons dcid dinstaller Cacti. Cacti est un logiciel libre de supervision fond sur la puissance de stockage de donnes de RRDTool. Il fonctionne grce un serveur web quip d'une base de donnes et du langage PHP. Il permet de reprsenter graphiquement divers statuts de priphriques rseau utilisant SNMP ou encore, grce des scripts pour avoir, par exemple, l'espace disque restant ou la mmoire utilise, la charge processeur ou le ping d'un lment actif.

installation et configuration de Cacti

Concernant linstallation de Cacti, nous allons simplement installer le paquet cacti-cactid grce au gestionnaire de paquets propre Debian.
nocrash:~# aptitude install -y cacti-cactid

Durant linstallation, nous avons la possibilit de configurer automatiquement la base de donnes, nous allons donc choisir cette option (cf Figure 1).

Il faut ensuite prciser le mot de passe de ladministrateur de la base de donnes et donner un mot de passe pour lutilisateur Cacti nouvellement cr. Nous avons install un serveur web tournant sous Apache 2. Il convient de le prciser et mme de slectionner Tous si vous avez coupl Apache2 SSL. Comme le rvle lcran suivant, il est ncessaire de se connecter linterface web de Cacti pour configurer le programme de rcupration de donnes (le poller). Cacti s'appuie sur SNMP qui doit tre configur sur lensemble des machines, quelles tournent sous un systme dexploitation Windows, Linux ou Cisco (cf Figure 2). Lors du choix de linstallation, choisissez NewInstall (cf Figure 3). Sur la page suivante, vrifiez que lensemble des vrifications a t pass (tout en vert). Une fois toutes les vrifications effectues, connectez-vous Cacti avec les identifiants admin/admin (cf Figure 4 et 5). Vous voici donc maintenant connect Cacti dont l'interface principale est reprsente la Figure 6. Comme indiqu prcdemment, il convient de modifier le programme de rcupration de donnes : allez dans Setting (Menu gauche) puis dans longlet Poller et slectionnez spinecomme type de poller (Poller type). Consultez la Figur e 7. Cacti est donc prsent en place. Il est ncessaire dattendre un peu pour voir les premiers rsultats.

38

7/2010

Supervisez votre rseau grce Nagios ii partie

intgration de Cacti dans linterface Nagios

Pour ne pas avoir jongler entre plusieurs interfaces graphiques (Nagios / Centron / Cacti), nous allons intgrer linterface Cacti directement dans celle de Nagios. Un petit module a t dvelopp par des internautes afin de simplifier la tche. Ce module tant trs pratique, nous allons donc lintgrer dans notre projet.
nocrash:~# wget http://www.nicolargo.com/dev/cactiplug/ nocrash:~# tar xzf cactiplug-0.2.tgz nocrash:~# rm -rf cactiplug-0.2.tgz
nocrash:~# mv cactiplug /var/www

cactiplug/cactiplug.php?ip=$HOSTADDRESS dans la rubrique definehost.Toutes vos modifications tant faites, redmarrez Nagios : nocrash:~# /etc/init.d/nagios3 restart

Cliquer sur la petite toile cot du nom dhte donne directement accs linterface Cacti de lhteslectionn (cf Figure 8).

Configuration des clients

cactiplug-0.2.tgz

Il est ncessaire de raliser quelques petites modifications dans le script cactiplug.php prsent disponible ladresse suivante : /var/www/cactiplug/cactiplug. php savoir, remplacez :
$cactiurl = http://localhost/cacti par $cactiurl = http:// <votre_IP>/cacti $database_username = cactiadmin par $database_username = cacti

Lors de la supervision de parcs informatiques, les clients les plus rcurrents sont les machines tournant sous des systmes dexploitation Windows, GNU/Linux ainsi que les quipements Cisco. Les trois types de machines (Windows, GNU/Linux et Cisco) peuvent tre superviss via le protocole SNMP (SimpleNetworkManagementProtocol) mais nous allons vous prsenter ici une manire spcifique aux trois types de machines.

Clients sous Windows

Pour superviser les machines tournant sous des systmes dexploitation Microsoft, installez, dans un

$database_username = cactipassword par $database_ username = <VOTRE PASS >

Configurez le lien entre les deux interfaces graphiques comme une commande : ditez le fichier /etc/nagios3/ hostTemplates.cfg pour y ajouter la ligne action _ url /

Figure 3. Dmarrage dune nouvelle installation Cacti

Figure 1. Configuration de Cacti

Figure 2. Ecran dinformation Cacti hakin9.org/fr

Figure 4. Paramtrage de Cacti

39

Pratique


Figure 5. Interface dadministration Cacti

CheckDisk.dll NSClientListener.dll NRPEListener.dll SysTray.dll CheckEventLog.dll CheckHelpers.dll CheckExternalScripts.dll NSCAAgent.dll LUAScript.dll NRPEClient.dll CheckTaskSched.dll

premier temps, le logiciel NSClient++. NSClient++ s'appuie sur une architecture client/serveur. La partie cliente, (nomme check_nt), doit tre disponible sur le serveur Nagios. La partie serveur (NSClient++) est installer sur chacune des machines Windows surveiller. Voici un petit schma rsumant le tout (cf Figure 9). La dernire version de NSClient++ est tlchargeable depuis le site officiel, ladresse suivante : http:// sourceforge.net/projects/nscplus/. Lors de linstallation, vous verrez apparatre cette fentre vous permettant dindiquer un mot de passe pour permettre la transmission des informations ainsi que lhte serveur (cf Figure 10). Une fois tlcharg et install, modifiez le fichier de configuration afin que la machine Windows puisse communiquer avec le serveur de supervision ; ditez le fichier C:\ProgramFiles\NSClient++\NSC.ini. Dans ce dernier, vous dcommenterez, c'est--dire enlverez le ; devant les lignes suivantes : FileLogger.dll CheckSystem.dll

Dans ce mme fichier, la directive password est cense tre renseigne par mypassword_access (rempli prcdemment) obligeant ainsi la partie cliente et la partie serveur partager un secret renforant ainsi le niveau de scurit. La dernire directive laquelle il est ncessaire de prter attention est la directive allowed hosts. Cette dernire permet de spcifier les htes autoriss communiquer avec la machine. Il est bien videmment ncessaire dy renseigner ladresse IP du serveur de supervision o est install Nagios sinon, la communication client/serveur sera impossible. Toutes les configurations sont faites, il est temps de tester la connectivit : sur la machine comportant le serveur Nagios, excutez la commande suivante :
nocrash:~# cd /usr/lib/nagios/plugins/
nocrash:~# ./check_nt -H <IP_WINDOWS> -v CLIENTVERSION -p -s <mot de passe> 12489

Loption -p permet de spcifier le port sur lequel coute NSClient sur la machine Windows (12489 est le port par dfaut). Si tout se passe bien, la version de NSClient doit vous tre retourne.

Figure 6. Interface principale de Cacti

40

7/2010

Supervisez votre rseau grce Nagios ii partie

nocrash:~# cd /usr/lib/nagios/plugins/

nocrash:~# ./check_nt -H 192.168.0.1 -v CLIENTVERSION -p 12489 -s mypassword_access


NSClient++ 0.3.7.493 2009-10-12

Ensuite remplacez loption CLIENTVERSION par UPTIME, CPULOAD, MEMUSE ou encore USEDDISKSPACE donnant respectivement le temps depuis lequel la machine est allume, la charge processeur, ltat de la mmoire et lespace disque utilis. Aprs la supervision des machines Windows, voyons celle des machines GNU/Linux. Comme nous l'avons indiqu prcdemment, il est possible de grer la supervision grce au protocole SNMP mais nous allons plutt dtailler une autre technique : le plugin NRPE. Un peu comme sous Windows (NSClient++/check_ nt), le plugin NRPE permet lexcution de plugins dits actifs directement sur les machines surveiller (cf Figure 11). Avant de commencer linstallation des plugins NRPE, il faut procder quelques installations pralables sur le systme dexploitation :
nocrash:~# aptitude install -y chkconfig make gcc

Clients sous GNu/Linux

A prsent, nous pouvons installer les plugins permettant de faire fonctionner NRPE :
nocrash:~# aptitude install -y plugin nagios-nrpe-server nagios-plugins nagios-nrpe-

Certains plugins, comme celui pour rcuprer ltat de la mmoire (check_memory.pl) ne sont pas disponibles par dfaut, il est ncessaire de les tlcharger (voir Listing 7). Le client et le serveur NRPE communiquent via le port TCP numro 5666. Si vous avez des restrictions via un firewall sur vos machines clientes, il est ncessaire dautoriser le port TCP 5666. Avec un firewall entirement fondsur iptables, il est ncessaire de lancer cette commande : nocrash:~# iptables -A INPUT -p tcp --dport 5666 -i eth0 -j ACCEPT A prsent, modifions le fichier de configuration /etc/ nagios/nrpe.cfg afin de paramtrer la communication client/serveur, les commandes etc. Il est impratif de modifier la directive allowed_ hosts= 127.0.0.1 de la mme manire que sous la machine Windows, c'est--dire en remplaant 127.0.0.1 par ladresse IP du serveur de supervision Nagios. Ensuite, il est possible dajouter / modifier / supprimer des commandes en respectant les syntaxes dj prsentes. Nous voyons de nombreuses lignes commenant par command[check_*] = . De cette manire, nous aurons donc accs la commande grant la mmoire grce check_mem en option de check_nrpe. Fichier de configuration sur la machine cliente : 192.168.0.45 :
[]

command[check_mem]=/usr/lib/nagios/plugins/check_memory. [] pl -w 30 -c 15

Nous allons maintenant installer la dernire version des plugins pour Nagios via les sources du Listing 6.

Commande lancer sur le serveur de supervision :

Figure 7. Changement du programme de chargement de donnes

Figure 8. Intgration de Cacti dans Nagios hakin9.org/fr


41

Pratique

nocrash:~# ./check_nrpe -H <Adresse_IP>

-c

check_mem

equipements Cisco

Dans les rseaux dentreprises assez importantes, il est trs frquent de trouver des routeurs ou des Switch Cisco. La supervision de routeur et de Switch est rellement importante car derrire ces quipements, se trouvent parfois plusieurs machines clientes et plusieurs serveurs. Ce dont nous avons besoin pour activer le SNMP de manire basique (voir Listing 8). Et c'est tout car nous n'utilisons pas les traps SNMP des lments. Dans le cas contraire, il faut paramtrer

les traps avec la commande snmp-server enable traps comme dans le Listing 9. Puis, il est ncessaire de configurer les ACL (voir Listing 10).

installation de nouvelles langues

Par dfaut, Nagios et Centreon sont fournis dans la langue de Shakespeare. Les anglophobes peuvent modifier la langue de leur utilisateur Centreon. Malheureusement, il nest pour linstant pas possible de faire la modification pour Nagios. Pour profiter de linterface administrative de Centreon en Franais, il est ncessaire de suivre les tapes

Figure 10. Paramtrage de NSClient

Windows Machine Monitoring Server CPU Memory Disk Space Naigos check_nt NSClient++ Processes Services

Figure 9. Schma de communication NSClient


42

7/2010

Supervisez votre rseau grce Nagios ii partie

suivantes. Commencez par linstallation des pr-requis systme :


nocrash:~# aptitude install -y install gettext locales

Ensuite, crez un rpertoire fr_FR.UTF-8 dans le rpertoire /www/locale/ de Centreon. Crez ensuite un second rpertoire LC_MESSAGES dans ce mme rpertoire:
nocrash:~# mkdir /usr/local/centreon/www/locale/fr_ nocrash:~# mkdir /usr/local/centreon/www/locale/fr_ FR.UTF-8/LC_MESSAGES/
MESSAGES/ nocrash:~# cd /usr/local/centreon/www/locale/fr_FR.UTF-8/LC_

FR.UTF-8/

Puis, tlchargez et compilez le fichier de traduction :


nocrash:~# wget http://translations.modules.centreon.com/svn/trunk/ centreon/fr_FR/LC_MESSAGES/messages.po nocrash:~# msgfmt messages.po -o /usr/local/centreon/www/locale/ fr_FR.UTF-8/LC_MESSAGES/messages.mo nocrash:~# chown -R www-data.www-data /usr/local/centreon/www/ locale/fr_FR.UTF-8/

Enfin, redmarrez votre serveur Apache:


nocrash:~# /etc/init.d/apache2 restart

Twitter est un outil de rseau social et de microblogging qui permet lutilisateur denvoyer gratuitement des messages brefs, appels tweets, par Internet, par messagerie instantane ou par SMS. Twitter est donc un formidable outil de veille. Nous allons donc voir comment configurer notre Nagios pour envoyer des alertes sur un compte Twitter (cf Fiugre 13). Avant toute chose, il est ncessaire de crer un compte Twitter ddi ce besoin car cest vers lui que toutes les alertes seront envoyes. Il suffira ensuite aux administrateurs de suivre ce compte Twitter pour tre inform au plus vite des anomalies survenues sur le rseau. Pour crer un compte, allez sur : https://twitter.com/ signup?commit=Join et remplissez le petit formulaire dinscription. Il faut bien retenir votre nom dutilisateur (nagios_nocrash) et votre mot de passe pour la suite. Rendez-vous dans les Paramtres et cliquez sur le bouton Protger mes tweets pour forcer lapprobation des utilisateurs autoriss suivre ce compte Twitter. Quand un des administrateurs fera une demande pour suivre ce compte Twitter, il faudra lapprouver. Avant de vous lancer dans les tests, il est ncessaire de commencer par linstallation des pr-requis systme; tout d'abord, curl:
nocrash:~# aptitude install -y curl

Nagios et la notification par twitter

Pour terminer, vous devez configurer votre compte utilisateur afin d'utiliser le fichier de traduction adquat : Configuration>Users>mon_utilisateur.Slectionnez fr_FR.UTF-8, cliquez sur Save et votre interface sera prsentenfranais(cf Figure 12).

Nous pouvons faire notre petit test et ainsi vrifier la communication entre notre serveur de supervision et Twitter :
nocrash:~# curl --connect-timeout 30 --max-time 60

-u nagios_nocrash:<mon_password>

-d status=Petit test via Nagios

SSL Naigos check_nt NRPE

check_disk check_load check_http check_ftp

Monitoring Host

Remote Linux/Unix Host

Figure 11. Schma de communication NRPE

Figure 12. Choix des langues sous Centreon

hakin9.org/fr

43

Pratique

http://twitter.com/statuses/update. xml

Si tout se passe bien, vous devriez avoir reu une notification Twitter (cf Figure 14) sur le compte nagios_nocrash. Pour crer les commandes, ouvrez Centreon, cliquez sur longlet Configuration, puis dans le menu gauche Notification et enfin, cliquez sur ajouter. Tout est correct, prsent, et vous pourrez bnficier des notifications grce Twitter (cf Figure 15).

Nagios et la notification via SMS

Depuis le dbut de cet article, nous voyons lenvoi de notification Nagios par mail ou encore sur internet grce
Listing 6. Installation des plugins Nagios
nocrash:~# cd /usr/src

Twitter. Un administrateur rseau, aussi bon soit-il, ne passe pas toute sa journe derrire un cran. Il est donc possible de trouver dautres moyens afin que ladministrateur soit constamment inform. Pour cela, nous allons passer par les rseaux tlphoniques et les SMS. Un SMS (Short Message Service) est utilis pour transmettre de courts messages textuels. Il est donc possible dutiliser cette technique pour avertir les administrateurs absents de leur lieu de travail et ntant pas forcment derrire un ordinateur. Ilseraitdebontondedfinirdespriodesdetemps pourlenvoideSMS. Il existe des solutions cl en main proposes par la plupart des oprateurs de tlphonie mobile. Mais ces

authentication linkdown linkup coldstart warmstart Routeur(config)# snmp-server enable traps tty Routeur(config)# snmp-server enable traps fru-ctrl Routeur(config)# snmp-server enable traps entity Routeur(config)# snmp-server enable traps flash insertion removal

nocrash:~# wget "http://downloads.sourceforge. net/project/nagiosplug/ nagiosplug/1.4.14/nagios-plugins1.4.14.tar.gz?use_mirror=garr" nocrash:~# tar xzf nagios-plugins-1.4.14.tar.gz nocrash:~# rm -rf nagios-plugins-1.4.14.tar.gz --enable-perl-modules nocrash:~#./configure --enable-extra-opts --with-perl nocrash:~# make && make install nocrash:~# cpan Nagios::Plugin

Routeur(config)# snmp-server enable traps cpu threshold Routeur(config)# snmp-server enable traps vtp Routeur(config)# snmp-server enable traps vlancreate Routeur(config)# snmp-server enable traps vlandelete Routeur(config)# snmp-server enable traps envmon fan shutdown supply temperature status

nocrash:~# perl -MCPAN -e 'install Nagios::Plugin'

Routeur(config)# snmp-server enable traps port-security Routeur(config)# snmp-server enable traps rf Routeur(config)# snmp-server enable traps hsrp newroot topologychange

Listing 7. Rcupration du script check_memory


nocrash:~# cd /usr/lib/nagios/plugins

Routeur(config)# snmp-server enable traps bridge Routeur(config)# snmp-server enable traps stpx loop-inconsistency Routeur(config)# snmp-server enable traps syslog Routeur(config)# snmp-server enable traps vlanmembership Routeur(config)# snmp-server host @IP_SERVEUR_

nocrash:~#wget "http://www.monitoringexchange.org/ Operating-Systems/Linux/check_ memory/check_memory.pl"


nocrash:~# chmod +x check _ memory.pl

attachment/download/Check-Plugins/

inconsistency root-inconsistency

Listing 8. Configuration du SMTP sur un quipement Cisco


Routeur>enable

SUPERVISION COMMUNAUTE_RESEAU

Routeur#configure terminal

Listing 10. Cration des ACL


Router# show running-config Router# show snmp Router# show access-lists 1 Router# configure terminal Routeur(config)# no 40 Routeur(config)# exit Routeur#wr m Routeur(config)# ip access-list standard 1 Routeur(config)# 40 permit @IP_SERVEUR_SUPERVISION

Routeur(config)# snmp-server community COMMUNAUTE_ RESEAU ro 1 Routeur(config)# snmp-server host @IP_SERVEUR_

SUPERVISION COMMUNAUTE_RESEAU

Listing 9. Activation des traps SNMP


Routeur(config)# snmp-server community COMMUNAUTE_ RESEAU RO 1 Routeur(config)# snmp-server trap-source Vlan1 Routeur(config)# snmp-server enable traps snmp

44

7/2010

Supervisez votre rseau grce Nagios ii partie

solutions sont assez coteuses si vous devez envoyer un SMS de temps en temps. Nous avons adopt une solution basique qui fonctionne bien pour les petits volumes ; il s'agit de piloter un GSM directement via votre serveur en utilisant un cble data USB. La plupart des GSM conviendront cet usage, l'unique condition est que le GSM possde un modem intgr qui rpond aux commandes AT. Pour piloter le GSM, nous avons besoin de la bibliothque gsmlib. Cette bibliothque se trouve dans le paquet gsm-utils. Pour l'installer, lancez la commande suivante :
nocrash:~# aptitude install -y gsm-utils

tiendrez un priphrique supplmentaire /dev/ttyUSB0. Vrifiez grce cette commande:


nocrash:~# ls -al /dev/ttyUSB*

Si vous n'avez pas de ttyUSB*, chargez le module manuellement :


nocrash:~# modprobe usbserial

Le paquet gsm-utils fournit quelques commandes pour dialoguer avec le GSM. Vrifiez si le GSM rpond bien avec la commande suivante :
nocrash:~# gsmctl -d /dev/ttyUSB0 ALL

Ensuite, connectez le GSM via son cble data un des connecteurs USB. Si tout se passe bien, le systme Hotplug chargera le module usbserial et vous ob-

A prsent, il est possible denvoyer des messages grce cette commande :


nocrash:~# gsmsendsms -d /dev/ttyUSB0 +3299999999 "Nagios - Test SMS OK"

Figure 13. Cration dun compte Twitter

Avant dajouter les commandes ncessaires Nagios, il est important de se rappeler que le numro de tlphone correspond au pagerdu contact (cf Figure 16). A prsent que tout est oprationnel, il est possible dajouter les commandes Nagios. Pour cela, passez soit par les fichiers de Nagios en ditant le fichier /etc/nagios3/misccommands.cfg, soit par linterface Centreon. Ouvrez Centreon, cliquez sur longlet Configuration, puis dans le menu gauche Notification et enfin, cliquez sur ajouter(cf Figure 17). Tout est OK, vous allez prsent recevoir vos notifications directement par SMS.

Conclusion

Figure 14. Rception de la premire notification

La mise en place dune supervision de tout un parc informatique nest pas une mince affaire. Le trio Nagios/ Centreon/Cacti que vous avez connus travers deux parties de larticle, est un trio connu et reconnu pour son bon fonctionnement Il vous aidera facilement amliorer laccessibilit vos machines sur lensemble de vos parcs informatiques, qu'ils soient moyennement grands ou trs grands. NB. Les Figures 16 et 17 sont tlcharger depuis www/hakin9.org/fr

auteur
Rgis SENET est en cinquime anne lcole Suprieure dinformatique Supinfo. Passionn par les tests dintrusion et les vulnrabilits Web, il tente de dcouvrir la scurit informatique dun point de vue entreprise. Il s'oriente actuellement vers les certi cations O ensive Security et CEH. Contact : regis.senet@supinfo.com Site internet : http://www. regis-senet.fr
45

Figure 15. Cration des commandes de notification

hakin9.org/fr

AttAque

Les attaques << evil twin >> du Social engineering


tim Kulp
Le Social Engineering est lart dinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations. Un Evil Twin utilise un ensemble de techniques pour faire croire quil sagit dun utilisateur de confiance tout en recueillant des informations sur sa victime.
Cet article explique:
Ce qu une Evil Twin Lutilisation dune Evil Twin par Social Engineering La porte dune Evil Twin

Ce quil faut savoir:


Utiliser un moteur de recherche Comment sinscrire sur un rseau social

e ne voudrais pas me rveiller un matin en me disant que je ne suis plus moi-mme. Cette phrase rendue clbre par le film Invasion of the Body Snatchers (Linvasion des profanateurs) sorti en 1956 pourrait sappliquer aujourdhui aux problmes rencontrs sur le Web. La majorit des internautes recevant des mails envoys par des amis ou des collgues ne pensent jamais en vrifier la provenance, ni mme la source. Ce comportement qui tend se gnraliser, influe de plus en plus sur les rseaux sociaux. Aujourdhui, entre les blogs, Twitter, Facebook et LinkedIn, nous mettons disposition du monde entier un nombre incalculable de donnes personnelles. Alors que nous sommes pris dans la culture de lauto-publication avec lavnement du Web 2.0, nous oublions que chaque lment dinformation transmis, lest de manire dfinitive et risque de se retourner un jour contre nous. Nous verrons dans cet article comment, grce aux Evil Twin, certains pirates parviennent utiliser les mdias sociaux contre nous, contre des employs ou les membres dune famille. Un Evil Twin, tel que dfini par Carl Timms et James Perez dans leur ouvrage , consiste pour un attaquant se faire passer pour un utilisateur lgitime en usurpant son identit. Cette technique nest pas nouvelle, elle est utilise depuis des annes sur les forums et les chats. Mais depuis deux ans environ, elle se retrouve sur les rseaux sociaux o lidentit dclare par un utilisateur est suppose tre authen46

tique. Par exemple, qui pourrait nous empcher de nous inscrire sur Facebook sous le nom de profil William George ? Personne. Et cest bien l le problme : sur Internet, nimporte qui peut dire ou faire croire nimporte quoi et chercher rinventer sa vie par la mme occasion. Bien, revenons-en lessentiel ; un Evil Twin se produit lorsque est cre la page William George sur Facebook avec lintention de recueillir des informations sur la famille du vritable William George, ses amis, ses collgues Lutilisation dun Evil Twin permet donc de se faire passer pour un utilisateur lgitime pour mieux infiltrer le cercle de confiance (compos en gnral damis proches) de la victime ou rpandre des malwares via les applications Facebook... premire vue, cela ressemble du Social Engineering ? Et bien, cest prcisment cela ! Un Evil Twin est lillustration mme du Social Engineering. Dans son ouvrage , Kevin Mitnick dfinit le Social Engineering ainsi : Le Social Engineering est lart dinfluencer et de persuader des individus dans le but de les manipuler et de leur soutirer des informations avec ou sans laide des technologies informatiques. Un Evil Twin utilise un ensemble de techniques pour faire croire quil sagit dun utilisateur de confiance tout en recueillant des informations sur sa victime. Un Evil Twin permet, terme, de rpandre des malwares, obtenir des informations des caches, ou diffamer une ou plusieurs personnes.
7/2010

Les attaques << evil twin >>

Les sites de rseaux sociaux sont le moteur des Evil Twin et les mdias sociaux en sont le carburant. Un site de rseau social permet aux utilisateurs de communiquer entre eux et de partager leurs profils sur Facebook, LinkedIn, Bebo Un mdia social, en revanche, permet aux utilisateurs de publier leurs contenus directement en ligne sur Blog, YouTube, Twitter... Les rseaux sociaux permettent donc de connecter/relier des internautes alors que les mdias sociaux sont orients contenus. Nous reviendrons sur cet aspect au cours de larticle. La plupart des sites que nous venons de citer proposent diffrents paramtres de confidentialit permettant de masquer les contenus et certaines informations des utilisateurs qui sont hors de votre cercle de confiance. Toutefois, ces contrles ne sont pas obligatoirement activs par dfaut. Les mdias sociaux servent de carburant aux Evil Twin en informant prcisment le pirate de lensemble des caractristiques dune personne pour mieux les attaquer : un tweet sur le golf servirait dindice au pirate en indiquant que sa victime est un golfeur. Le profil Evil Twin s'adapterait alors aux centres dintrts de la victime.

famation lespionnage, en passant par le dploiement de malwares, des actes de dsinformation... Vous devez donc dlimiter ce qui est possible ou non, puis tablir lobjectif atteindre, cest--dire votre but. Dans notre cas, lattaque doit permettre dobtenir les identifiants de connexion systme. L'objectif est donc de rcuprer ces informations puis daccder au systme distant pour soutirer de largent la machine cible (systme financier).

tape 2 : Dfinir la cible

Vous devez maintenant dfinir la cible. Qui attaquez-vous en bout de chane ? La cible est soit un particulier, une entreprise, soit tout autre groupe. Si cest un groupe, vous devez savoir quelle personne attaquer. Posez-vous les questions suivantes : Votre cible est-elle prsente sur les mdias sociaux ? Essayez dobtenir le maximum dinformations sur la cible, vous faciliterez la mise en place dun Evil Twin. Votre cible est-elle prsente sur les rseaux sociaux ? Dans lidal, il est prfrable quelle ne le soit pas. Sinon, choisissez dautres rseaux sociaux et invitez un ou des ami(s) de votre cible. La plupart des internautes sont inscrits plusieurs rseaux sociaux ou ont plusieurs profils sur un seul rseau. Sinon, vous pouvez toujours tenter de dtourner les connexions vers votre nouveau compte (bien que plus difficile). Votre cible est-elle la bonne ? Assurez-vous que vous pourrez atteindre votre objectif avec votre cible. Si vous souhaitiez obtenir des codes daccs physique un bureau situ Baltimore, ne choisissez pas une cible vivant Londres, a parat vident et pourtant... Dune manire gnrale, essayez de toujours cibler les individus en relation directe avec votre objectif.

Principe de fonctionnement dun evil twin

Voyons la technique, que nous avons mise en oeuvre pour une socit, pour effectuer un Evil Twin en vue de dterminer la mthodologie que ses employs devront appliquer lorsquils publient des informations dentreprise sur les rseaux et les mdias sociaux. Mais sachez qu'un Evil Twin viole dlibrment tous les accords utilisateurs de la majorit des sites de rseaux sociaux et mdias sociaux. De fait, vous risquez de vous retrouver dans de srieux ennuis. Nessayez pas cette technique sans laccord tacite de lindividu et de lentreprise pour lesquels vous effectuez le test.

tape 1 : Dfinir lobjectif

Avant toute chose, vous devez dfinir lobjectif. Pour quelle raison souhaitez-vous effectuer un Evil Twin ? Quelle est votre motivation ? Cette dernire va de la diftableau 1. Informations rcupres sur Steve Partmen

Dans notre Evil Twin, GroundTrans Corp est notre cible et notre objectif est dobtenir les identifiants

Catgorie Infos personnelles Infos professionnelles Infos ducation Loisirs Centres dintrt

Frquence Souvent
Nom : Steve Partmen Date naiss. Aot GroundTrans Corp

Parfois
Mari Sociable SeaTrans Corp Universit ABC Aromodlisme Escalade

Rarement

Collge communautaire Arts martiaux Photos de randonnes

golf UFC

Voitures de sport Motos

hakin9.org/fr

47

AttAque

de connexion afin de soutirer de largent au systme financier. La cible tant une entreprise, nous devojs savoir prcisment qui nous allons incarner. Aprs un petit passage en revue du site web de GroundTrans et notamment quelques biographies des responsables, nous recherchons leur ventuel profil sur LinkedIn. Nous conservons uniquement les comptes LinkedIn qui reoivent des mises jour synchronises avec Twitter. Cette tape a permis de conserver uniquement 2 responsables, proches du directeur financier Steve Partmen. Nous avons donc la cible et trois supports diffrents pour lancer un Evil Twin (la page GroundTrans, LinkedIn et Twitter).

La cible tant dtermine, il faut maintenant recueillir des informations plus prcises sur notre cible. Cellesci dpendront essentiellement de lEvil Twin que nous mettrons en place sur le rseau social. Le meilleur endroit pour dmarrer est Google. Saisissez le nom et le prnom de la personne et regardez les rsultats. Durant cette phase, nous devons recueillir le maximum dinformations sur le Steve Partmen vis (attention : il peut y en avoir plusieurs), en utilisant des sites comme Blogger, Twitter, LinkedIn, Facebook... Nous pouvons galement glaner des informations intressantes sur Twitter par exemple et connatre en temps rel ses faits et gestes. La cl rside dans lagrgation de donnes et non dans lutilisation de donnes singulires qui nont aucune signification propre. Par exemple, les utilisateurs de Twitter traitent chaque message de manire unique. Dans leur esprit : 1 message quivaut 1 information. Il faut donc croiser toutes les informations Twitter relatives la cible tout en tendant les recherches aux mdias sociaux (blogs, YouTube...). Pour conserver toutes les informations trouves sur un utilisateur, utilisons un tableau crois - Tableau 1. Cette vue croise permet de classer chaque lment du profil par catgorie et den estimer la frquence. Il suffit de placer chaque lment dans la ligne approprie et de compter son nombre d'apparitions pour dterminer si cest Souvent / Parfois / Rarement. Dans notre exemple, le Golf revient Souvent.
tableau 2. Liste des connexions

tape 3 : Recueillir des informations sur lutilisateur lgitime

Il se retrouve frquemment dans les messages Twitter. Les informations qui apparaissent Rarement sont les plus intressantes, car peu connues. Cest ce dernier aspect qui permettra de lancer un Evil Twin crdible. Comme indiqu plus haut, la personne pour qui nous souhaitons nous faire passer est Steve Partmen, dont la biographie est consultable sur le site GroundTrans. Ainsi, nous savons que Steve a travaill pour SeaTrans avant de rejoindre le groupe GroundTrans mais cela n'est pas mentionn sur son profil LinkedIn. Il faut donc faire apparatre cette donne sous la rubrique Infos professionnelles / Parfois. Les recherches nous ont fourni une page intressante (page 8 de Google), indiquant que Steve tait un ancien prof de karat. Cette information a t reporte dans la catgorie Loisirs / Rarement. Sur son profil LinkedIn, nous avons examin en dtails lhistorique de Steve y compris les informations relatives son ducation, ses centres dintrts, recommandations... Avec ces donnes, nous allons sur sa page Twitter pour analyser lensemble de messages et ainsi vrifier les correspondances. Le golf ressortait toujours en premier, tout comme la randonne et lescalade. Steve est galement parti au Canada pour faire de la randonne dans les cercles arctiques. Sur Flickr, des images de Steve et de ses amis en attestent. Ces images sont sauvegardes avant d'en rechercher d'autres sur le golf. Malheureusement, cette recherche n'a apport que des donnes portant sur des gens qui ressemblaient physiquement au Steve vis. Suffisant pour tre crdible, dautant que les photos ont un aspect surann. Pour la majorit des internautes, tout porte croire quil sagit du vritable Steve.

tape 4 : Pool de connexion

Nous avons notre cible, la personne pour qui se faire passer et toutes les informations ncessaires pour mettre en place notre Evil Twin. Il suffit de trouver maintenant des gens qui nous connecter et consulter leurs profils. Cette tape est relativement simple sachant que nous sommes prsent sur les rseaux sociaux. Avec LinkedIn, nous pouvons masquer les connexions et afficher uniquement les gens avec lesquels nous sommes connect. Lors-

ID
1 2 3 4

Nom
Bob Jones Carol Partmen Dona Far Frank Haim

Entreprise
GroundTrans AT&T

Relation
Directeur Financier pouse Fille dune amie de sa mre

Liens sociaux
Aucun http://social.com/blah?ID=124 http://social.com/blah?ID=23

GroundTrans

Responsable informa- http://social.com/blah?ID=2 tique

48

7/2010

Les attaques << evil twin >>

que cette fonction est active, seuls les gens autoriss voient les autres connects. Si cette fonction est dsactive, nimporte qui voit nos connexions. LinkedIn dispose dune autre fonction trs pratique, Viewers of this profile also viewed . En clair, nous voyons les autres profils connects celui en cours. Cette fonction permet dtablir un lien entre plusieurs profils. Une connexion implicite ne signifie pas pour autant que deux profils sont directement lis, mais nous pouvons penser quun utilisateur est parvenu consulter des profils dj visionns. Prenez par exemple Amazon.com qui propose Quachtent les clients aprs avoir consult cet article, cela ne signifie pas que les gens ont achet plusieurs articles, mais certains dentre eux. Daprs notre exprience, les profils dj consults sont gnralement connects au profil en cours de visionnage. Cette hypothse sest souvent vrifie. Il faut noter chaque connexion en rapport avec la cible et les ajouter ultrieurement notre Evil Twin. Pour lister ces connexions, partons du tableau 2 procurant une liste unique de connexions en rapport avec notre cible. Lorsque toutes les connexions ont t rpertories, nous utilisons le Tableau 3 pour analyser la nature de leur relation et leur frquence. Rappelez-vous que le but dun Evil Twin est de gagner la confiance des utilisateurs. Par consquent parvenir faire la diffrence entre les membres dune famille, des amis et des collgues de travail est essentiel pour se focaliser sur sa cible. Si vous vous attaquez une entreprise, il faudra vous concentrer en priorit sur les contacts professionnels avant de sintresser aux amis ou collgues. Utilisez les numros de la liste prcdente pour gagner du temps. Pour notre attaque, nous avons trouv la page de Steve Partmen sur LinkedIn. Notre but est de dployer un malware sur le rseau. Pour cela, nous utiliserons FaceBook. Quelques recherches sur LinkedIn nous ont fourni un ensemble de contacts (figurant dans notre table) dont des profils dits Populaires sur LinkedIn. Gardons toujours en tte que notre objectif est de soutirer de largent. Pour chaque connexion, nous devons nous demander si lutilisateur possde des informations susceptibles datteindre notre objectif ? Axons notre recherche sur les personnes travaillant pour le dpartement Comptabilit & Finance. Aprs
tableau 3. Tableau crois relationnel

avoir list toutes les connexions, vrifions toutes les personnes prsentes sur le profil Twitter de Steve. Les utilisateurs qui ont la fois des followers LinkedIn et Twitter sont marqus comme Souvent. Ceux qui napparaissent que sur LinkedIn sont marqus comme Parfois et ceux uniquement sur Twitter sont marqus Rarement. Aprs avoir abord les actions pralables la mise en place dun Evil Twin, passons maintenant laction ! Nous devons dabord choisir le rseau social utiliser en fonction de nos objectifs. Si l'objectif est de dployer un malware (comme indiqu dans notre exemple), alors Facebook est le site idal. La plate-forme applicative de Facebook permet de distribuer rapidement et facilement du code malveillant au plus grand nombre. De plus, vous pouvez recueillir un ensemble dinformations au cours de ce processus. LinkedIn est loutil de prdilection pour les rseaux sociaux professionnels (pour mettre mal la rputation dune entreprise) et est parfait pour la rputation dun Evil Twin. Vous pouvez galement vous intresser aux rseaux sociaux rcents ; cela peut conforter votre crdibilit sur de nouveaux systmes. Lavantage avec cette dernire mthode est de faire croire que vous tes le vritable Steve Partmen. L encore, qui pourrait remettre en question cette affirmation ? Le rseau social choisi, il nous faut disposer dun compte mail. Vous pouvez souscrire des services gratuits tels que Gmail, Hotmail, Yahoo Mail Essayez par la mme occasion de saisir une adresse mail crdible. Nous savons que ladresse hotmail de Steve est spartmen@hotmail.com, essayons spartmen@gmail. com. Certains utilisateurs ny verront que du feu ; dans le cas contraire, le vrai Steve est peut tre pass sur un autre service. Muni de notre nouvelle adresse mail, revenons sur le rseau social choisi pour nous inscrire. Ce processus est relativement simple grce aux tables mises en place prcdemment. Notre Evil Twin sera alors extrmement efficace. Que vous vous inscriviez Facebook ou LinkedIn, vous devrez rpondre quelques questions sur vos centres dintrt, votre date de naissance Si vous navez aucune ide, mettez

tape 5 : Mettre au point un evil twin

Catgorie Contacts pro Contacts perso


Au travail Autres entreprises Amis Famille

Frquence Souvent
1

Parfois
4

Rarement

3 2

hakin9.org/fr

49

AttAque

nimporte quelle rponse. Pour la date de naissance, si la personne vous semble jeune, saisissez quelque chose de singulier du genre 02/12/1928. La plupart des utilisateurs de rseaux sociaux ny prtent pas attention. Essayez tout de mme davoir un Evil Twin crdible pour augmenter les chances de succs de votre attaque. Les recherches pralables sont donc indispensables, un Evil Twin nest aucun cas une accumulation de faits Il doit y avoir une personnalit, un fond. Un Evil Twin crdible mlange avec subtilit des informations exactes et des informations plus anecdotiques. Lensemble doit avoir un semblant de cohrence. Lorsque ce vrai-faux profil est mis en ligne, vous obtiendrez automatiquement des connexions basiques, dites organiques . Ces connexions organiques sont puissantes, elles vous permettent de vous connecter rapidement dautres utilisateurs. Plus votre Evil Twin cumule de connexions et plus le nombre de connexions organiques augmente. Pour un Evil Twin Steve Partmen, nous avons opt pour Facebook qui possde un cosystme applicatif riche. L'ide est de rpandre le malware travers le rseau damis, ou plutt ceux qui pensent que nous le sommes. Crons un compte de messagerie Hotmail, spartmen@live.com et inscrivons-nous sur Facebook. Avec notre table de ltape 3, indiquons nos centres dintrt, films prfrs, livres... Ceci fait, tapons le message suivant sur notre mur : Enfin sur Facebook ! puis, lions le vrai compte Facebook celui de Steve pour lui montrer quil a au moins un ami. Chargeons avec une lgende fictive quelques images trouves ltape prcdente. Tous ces lments ont fait ressortir le profil de Steve, lEvil Twin nen est que plus crdible. Le lendemain, envoyons des demandes dajout en nous appuyant sur la colonne Souvent de notre tableau crois. Pour chaque demande, ajoutons le message suivant : Merci de ne pas en parler au bureau. Jai pas mal de gens qui me demandent sans cesse de les ajouter comme amis, alors merci de ne pas parler de mon compte Facebook au travail. premire vue, le message semble trange ceux qui le reoivent, mais au final, cela fonctionne. Nous avons eu des rponses du genre Pareil pour moi ou Tout fait daccord ... Cette technique permet dviter les soupons du vritable Steve Partmen sur son lieu de travail.

La crdibilit de lEvil Twin ne pouvait pas tre remise en cause sachant le nombre de connexions. En utilisant lAPI Facebook, nous avons pu concevoir une petite appli en HTML appele Jadore GroundTrans Copr et nous l'avons envoye tous les connects. 20 ont accept notre demande. Lapplication ntait quune balise image mais cela aurait trs bien pu tre une attaque CSRF ou XSS (cross-site scripting). Suite la phase de dialogue avec les utilisateurs pour leur expliquer notre dmarche, aucun deux navait suspect le profil Evil Twin de Steve dtre un faux et encore moins lapplication. La plupart navaient mme remarqu que sa date de naissance tait 1930 (alors que Steve a 40 ans). Pour rsumer, tous les utilisateurs ont accept le profil de Steve en se fiant aux images et aux messages publis.

une multitude de possibilities !

Un Evil Twin peut tre la porte dentre une attaque labore. Comme indiqu prcdemment, un Evil Twin nest quun moyen pour parvenir ses fins et non une attaque en elle-mme. Un Evil Twin facilite le dploiement de malwares, des attaques par phishing, certaines formes dintimidation numrique / cyberbullying ou la diffamation. Toutes ces attaques risquent donc de porter prjudice un individu ou une entreprise et sont rendus possibles par la mise en place de relations de confiance sur les rseaux sociaux.

Conclusion

Alors que les mdias sociaux nous permettent de publier nimporte quel contenu, ils nous exposent certains utilisateurs malintentionns. Les rseaux sociaux nous permettent de rester en contact avec les personnes qui nous sont chres ou que perdues de vue depuis des annes, mais quel prix... Les attaques Evil Twin montrent combien nous sommes dpendants des medias sociaux et notre dsir de nous lier aux autres par les rseaux sociaux. La vigilance est donc le mot dordre et la seule arme pour se prmunir de ces menaces. Les rseaux sociaux sont aujourdhui adopts par de plus en plus dentreprises et ces techniques ne feront quaugmenter dans les mois et les annes qui viennent. Restez vigilant !

Rsultats

LEvil Twin de Steve Partmen a pu se connecter plus de 25 personnes en seulement 24 heures. Seules 7 de ces connexions taient des demandes que nous avions envoyes. Les 18 autres taient des gens qui taient arrivs sur le profil Evil Twin de Steve. Une fois la connexion tablie lEvil Twin, le malware a pu aisment se rpandre sur le rseau de confiance de Steve.
50

PRoPoS De LAuteuR
Tim Kulp (CISSP, CEH) est un professionnel de la scurit informatique travaillant Baltimore dans le Maryland. Tim est spcialis dans la scurit lie au dveloppement logi ciel insi que dans les tests. 7/2010