15/01/2025

Administration Réseau

pfSense

Change un mot de passe dans PfSense

Mickael Dorigny 0 commentaire

I. Présentation Dans ce tutoriel, nous allons apprendre à changer le mot de passe d’un utilisateur (normal ou d’un utilisateur « admin »). Pour information, ce tutoriel est effectué sur la version 2.0.3 RELEASE (i386) de PfSense et la machine est une machine virtuelle sous VirtualBox. II. Procédure Le mot de passe d’un utilisateur ne peut se modifier que depuis le webConfigurator (l’interface Web de PfSense). Il faut donc s’y rendre et se connecter avec un utilisateur ayant les droits d’administration (idéalement l’utilisateur administrateur par défaut « admin ») : On s’authentifie donc puis on se rend dans « System » > « User Manager » pour aller modifier les informations des utilisateurs : On devra ensuite sélectionner l’utilisateur à qui nous souhaitons changer le mot de passe : Pour modifier les paramètres de tel ou tel utilisateur, il faut cliquer sur l’icône contenant un « e » à droite de sa ligne. On aura alors l’affichage de l’ensemble de ses paramètres : Il nous suffit alors de saisir deux

Lire cet article
Cisco

Mise en place du protocole HSRP

Mickael Dorigny 7 commentaires

I. Présentation Dans ce tutoriel, nous allons apprendre à mettre en place le protocole de haute disponibilité HSRP sur des routeurs Cisco. II. Etude du protocole HSRP ou « Hot Standby Routing Protocol » est un protocole propriétaire Cisco qui a pour fonction d’accroitre la haute disponibilité dans un réseau par une tolérance aux pannes. A. Fonctionemment Cela se fait par la mise en commun du fonctionnement de plusieurs routeurs physiques (au minimum deux) qui, de manière automatique, assurerons la relève entre eux d’un routeur à un autre. Le protocole HSRP présente aussi son semblable normalisé qui se nomme VRRP. Celui-ci étant normalisé, il est disponible sur les routeurs d’autres marques que Cisco. Plus précisément, la technologie HSRP permettra aux routeurs situés dans un même groupe (que l’on nomme « standby group ») de former un routeur virtuel qui sera l’unique passerelle des hôtes du réseau local. En se « cachant » derrière ce routeur virtuel aux yeux des hôtes.

Lire cet article
Cisco

Accès SSH sur un équipement Cisco

Florian BURNEL 11 commentaires

I. Présentation L’accès à distance via Telnet sur un équipement Cisco c’est bien mais ce n’est pas sécurisé. Il est préférable d’utiliser le protocole SSH qui chiffre les informations afin d’apporter une couche de sécurité à la connexion à distance. De ce fait, c’est intéressant de savoir mettre en place un accès SSH sur un switch Cisco ou sur un routeur Cisco, plutôt qu’un accès Telnet. Toutefois, il faut que votre version d’IOS soit suffisamment récente pour contenir une couche cryptographique permettant d’utiliser le SSH. II. L’équipement est-il compatible ? Vérifiez si votre version d’IOS est compatible avec la fonctionnalité SSH grâce à la commande suivante : show version Dans le résultat obtenu de la commande, la mention « k9 » doit être présente dans la version de l’IOS. Par exemple : Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE, RELEASE SOFTWARE (fc2) III. Définir le nom de d’hôte et de domaine L’équipement doit impérativement disposer d’un nom d’hôte et

Lire cet article
Commandes et SystèmeSSHSupervision

Envoi d’un mail lors d’une connexion SSH

Mickael Dorigny 5 commentaires

I. Présentation Dans ce tutoriel, nous allons apprendre à paramétrer un envoi de mail lors d’une connexion SSH à un serveur Linux. Cela peut être une solution simple et rapide pour savoir quand quelqu’un se connecte à votre serveur et cela en temps quasi réel (le temps d’envoi d’un mail). Nous allons voir que cette méthode peut s’appliquer à tous les utilisateurs se connectant en SSH,le plus intéressant à faire étant pour root car cela permet de superviser les connexions en SSH pour root et ainsi de détecter si il y a des connexions anormales. II. Le fichier .bashrc Chaque utilisateur possède un fichier « .bashrc » dans son « home » qui peut contenir, entre autre, des commandes exécutées lors de l’initialisation de son shell (ce qui se passe lors d’une connexion SSH). C’est de ce fichier que nous allons nous servir pour effectuer notre envoi de mail. Il suffit donc juste d’y placer les bonnes commandes. Note: On par ici du principe

Lire cet article
Type de services Cloud
Administration Réseau

Les types de services Cloud

Florian BURNEL 0 commentaire

I. Présentation Le Cloud Computing est de plus en plus répandu, de plus en plus utilisé et permet d’accéder à des ressources informatiques partagées et configurables, en s’appuyant sur différents principes tels que la virtualisation, la mutualisation, la flexibilité, la notion de « service à la demande » et la qualité de service. Pour qu’une architecture soit dite « cloud » il y a 5 caractéristiques à respecter. Il faut que ce soit un service à la demande, accessible par le réseau, que les ressources soient partagées et flexibles, et que le service soit surveillé, contrôlé et optimisé. S’offrent alors aux clients divers types de services Cloud, où les plus courants sont IaaS, PaaS et SaaS. Nous allons voir les différences entre ces services afin de vous aider à mieux comprendre ce que ça signifie. II. Infrastructure as a Service Le sigle « IaaS » signifie « Infrastructure as a Service » où l’entreprise qui propose un service de Cloud

Lire cet article
IPCOP

Configurer des accès externes pour IPCOP

Florian BURNEL 0 commentaire

I. Présentation A partir du menu de configuration du pare-feu d’IPCOP, il est possible de configurer des accès externes afin d’effectuer des tâches de maintenance et d’administration sur votre serveur depuis l’extérieur, c’est-à-dire depuis le WAN et donc le réseau dit « ROUGE/RED » pour IPCOP. Ainsi on pourra autoriser uniquement l’adresse IP d’une machine à accéder sur le port 445 uniquement à notre serveur IPCOP depuis le WAN. Le fait d’autoriser qu’une seule adresse IP ou à la limite que quelques unes permet de garder une couche de sécurité au niveau des accès depuis le réseau « dangereux » représenté par l’extérieur. Bien sûr, vous pourrez autoriser la connexion depuis n’importe quel adresse IP mais je ne vous le conseil pas. Il vaut mieux se limiter à quelques adresses IP de confiances. La version d’IPCOP utilisée dans le cadre de ce tutoriel est la version 1.4.20 mais c’est applicable pour la version 2.0.x, le principe restant le même. II. Configuration Nous

Lire cet article
IPCOP

Configurer des transferts de ports sur IPCOP

Florian BURNEL 2 commentaires

I. Présentation Pour accéder avec une machine depuis le réseau ROUGE vers une machine sur le réseau GREEN d’IPCOP, il est nécessaire d’utiliser la fonctionnalité du transfert de port afin d’ajouter une règle dans le pare-feu qui autorise l’accès. Par défaut, tous les accès vers les machines du réseau sécurisé (GREEN) sont interdits par les machines du réseau non-sécurisé (RED), IPCOP remplit son rôle de pare-feu afin de protéger les hôtes du LAN. On appelle aussi cette fonctionnalité « port forwarding » et dans le cas d’IPCOP cela se met en place grâce à des règles IPTABLES puisqu’IPCOP utilise cette application pour jouer le rôle de pare-feu. Ainsi, nous pourrons dire que lorsqu’on accède à l’interface ROUGE d’IPCOP sur le port 8080 on doit être redirigé vers le port 80 du poste de travail qui a la fonctionnalité de serveur web, ayant pour adresse IP « 172.16.0.1 », et, qui se situe dans le LAN (réseau GREEN). C’est d’ailleurs ce

Lire cet article
Commandes et SystèmeNetfilterServices

Appliquer des règles Iptables au démarrage

Mickael Dorigny 4 commentaires

I. Présentation Les règles Iptables sont les règles qui régissent la sécurité et la façon de fonctionner du pare-feu Netfilter , présent nativement sur les distributions Linux. Lors du redémarrage d’une machine, les règles Iptables mises en place sont remises à zéro, elles ne sont pas nativement sauvegardées dans le système. Il peut alors être intéressant de savoir les récupérer et les ré-appliquer dès le démarrage de la machine ou bien d’une interface. Nous allons donc voir dans ce tutoriel comment charger et récupérer nos règles Iptables au démarrage de notre machine. II. Sauvegarde des règles de filtrage Iptables contient une commande permettant de sauvegarder la table de filtrage dans un fichier. Cette commande peut nous être utile pour sauvegarder nos règles et donc les récupérer plus tard. Par exemple, pour sauvegarde la configuration de notre table de filtrage Iptables dans un fichier « /etc/iptables.rules » , il faut saisir la commande suivante: iptables-save > /etc/iptables.rules Ensuite, si vous consultez le contenu

Lire cet article
Commandes et SystèmeNetfilterSSH

Autoriser le SSH via Iptables

Mickael Dorigny 5 commentaires

I. Présentation Iptables est un paquet présent sur la plupart des distributions Debian qui permet de gérer en ligne de commande les règles de Netfilter, un pare-feu natif à ces mêmes distributions. Dans ce tutoriel, nous allons voir comment autoriser uniquement le port SSH à être contacté sur un serveur au travers la manipulation d’Iptables. II. Explications Nous allons en effet chercher à sécuriser notre port SSH via Iptables à travers différents paramètres et options. On verra tout d’abord comment fermer tous les ports de notre serveur pour n’ouvrir que le port SSH pour ensuite spécifier des sécurités supplémentaires quant à la connexion SSH. Iptables nous permettra de faire ce genre de sécurité. Pour simplifier la gestion des règles Iptables. Nous travaillerons avec un script qui exécutera les règles Iptables. On doit donc créer un fichier que nous nommerons ici « iptables.sh » : vim iptables.sh Puis nous allons commencer par réinitialiser les règles déja écrites : # !/bin/bash # Supprimer les

Lire cet article
Supervision

Monit – HTTPS pour l’interface web

Florian BURNEL 0 commentaire

I. Présentation : Comme vous le savez, Monit dispose d’une interface web qui permet de visualiser des informations sur les services et d’effectuer quelques tâches d’administration. Toutefois, on accède à cette interface par l’intermédiaire du protocole HTTP, ce qui n’est pas sécurisé. Afin de sécuriser l’accès, nous allons mettre en place l’utilisation du protocole HTTPS pour l’accès à l’interface web. Ceci engendre une modification de la configuration de Monit par l’intermédiaire du fichier « monitrc » et nous allons devoir générer un certificat SSL qui contiendra également la clé privée. Tout ça dans le but de sécuriser les échanges. II. Configuration de Monit : La configuration de Monit doit être légèrement modifiée afin d’indiquer qu’on souhaite activer le SSL, et, il faut également indiquer le chemin vers le certificat à utiliser. Pour cela, il faudra ajouter deux lignes au niveau du paramétrage de l’interface web, comme ceci : Ajoutez les deux lignes indiquées ci-dessous qui permettent respectivement d’activer le SSL

Lire cet article
monit authentification
Supervision

Monit – Utiliser un fichier htpasswd pour l’authentification

Florian BURNEL 0 commentaire

I. Présentation : Dans le tutoriel de mise en place de l’outil de monitoring Monit, nous avons vu comment créer des identifiants de connexion directement au sein du fichier de configuration, mais également, en utilisant les comptes utilisateurs et les groupes du système Linux. Désormais, nous allons voir comment utiliser un fichier de type « htpasswd » c’est-à-dire que le fichier contiendra des identifiants (utilisateur + mot de passe) crypté en MD5. Ainsi, nos identifiants de connexion à l’interface de Monit seront protégés. II. Création du fichier : Avant de configurer Monit, nous allons créer des identifiants de connexion chiffrés dans un fichier nommé « password », se situant dans « /etc/monit », grâce à la commande « htpasswd ». Dans cet exemple, je crée un utilisateur nommé « florian » qui aura pour mot de passe « 123456 ». Voici la commande : htpasswd –m –c /etc/monit/password florian Lors de l’exécution de la commande, on vous demande un mot

Lire cet article
Monit Service Manager
Supervision

Monit – L’interface web

Florian BURNEL 0 commentaire

I. Présentation : Dans un autre tutoriel, nous avons vu la mise en place de Monit, c’est-à-dire l’installation et la configuration de cet outil de monitoring. Maintenant, nous allons voir l’interface web de Monit qui permet essentiellement de visualiser l’état des services et d’obtenir un bon nombre d’informations sur ces derniers. Toutefois, quelques tâches d’administration sont disponibles : – Désactiver/activer la surveillance c’est-à-dire le monitoring d’un service, – Forcer le contrôler de tous les services, – Visualiser le fichier de log de monit, – Arrêter l’interface web de monit. II. Accès à l’interface web : Tout d’abord, connectez-vous sur l’interface en utilisant l’adresse IP du serveur sur lequel monit est installez, en précisant le numéro de port que vous utilisez. Exemple : http://192.168.1.100:8080 Rappel : le numéro de port est définit dans le fichier de configuration « monitrc » par l’intermédiaire de la directive « set httpd port 8080 ». En ce qui concerne l’identifiant et le mot de passe,

Lire cet article
Supervision
Supervision

Monit – Installation et configuration

Florian BURNEL 5 commentaires

I. Présentation : Il est essentiel de surveiller l’état général de votre serveur, c’est-à-dire les processus, les programmes, les répertoires, les fichiers, etc… C’est ce qu’on appelle le monitoring système. Le but est d’indiquer à l’application ce qu’on souhaite surveiller et elle effectuera des contrôles réguliers, et lorsqu’une erreur sera rencontrée, une alerte sera envoyée. Une alerte peut être envoyée mais pas seulement, on peut effectuer une action sur le processus et même exécuter un script lorsqu’une erreur est détectée. Ces vérifications peuvent aller de la surveillance de la charge CPU à la vérification de la somme SHA-1 d’un fichier, ce qui permet une multitude de choix et une surveillance minutieuse. En fait, c’est un peu le même principe que de la supervision sauf que là on surveille uniquement la machine locale. Ce n’est pas un serveur qui ira surveiller d’autres serveurs comme on peut le faire avec un serveur de supervision. Dans notre cas, nous allons utiliser monit qui

Lire cet article
IPCOP

SSH avec IPCOP : Authentification par clé

Florian BURNEL 1 commentaire

I. Présentation La distribution IPCOP permet l’administration à distance via le protocole SSH en se connectant par mot de passe. Il est également possible de mettre en place une connexion SSH sécurisée par l’utilisation d’une paire de clés asymétriques. La clé publique restera toujours sur le serveur IPCOP, tandis que le poste utilisé pour la connexion à distance devra disposer de la clé privée. Une clé privée qui devra être au préalable converti avec l’utilitaire « PuttyGEN » afin d’être compatible et utilisable avec Putty. Dans le principe, dans un premier temps, la paire de clés doit être générées sur le serveur IPCOP grâce à la commande adéquate. Ensuite, on autorisera la clé publique auprès du serveur IPCOP pour qu’il ait confiance en cette clé. Dans un deuxième temps, la clé privée doit être transférée sur le poste client pour être utilisée lors d’une connexion. Il est important de préciser que cette clé privée doit être conservée précieusement puisque c’est

Lire cet article
pfSense

Installation de Pfsense

Florian BURNEL 11 commentaires

I. Présentation Pfsense est un OS transformant n’importe quel ordinateur en routeur/pare-feu. Basé sur FreeBSD, connu pour sa fiabilité et surtout sa sécurité, Pfsense est un produit OpenSource adapté à tout type d’entreprise. Voici ses principales fonctionnalités : – Gestion complète par interface web – Pare-feu stateful avec gestion du NAT, NAT-T – Gestion de multiples WAN – DHCP server et relay – Failover (possibilité de monter un cluster de pfsense) – Load balancing – VPN Ipsec, OpenVPN, L2TP – Portail captif Cette liste n’est pas exhaustive et si une fonction vous manque, des extensions sont disponibles directement depuis l’interface de Pfsense, permettant notamment l’installation d’un proxy ou d’un filtrage d’URL, très simplement. En plus d’être disponible en version 32 et 64 bits, Pfsense est également disponible pour l’embarqué, il fonctionne très bien sur des petits boitiers Alix. Dernière chose, Pfsense nécessite deux cartes réseaux minimum (une pour le WAN et une pour le LAN). II. Télécharger l’image La dernière

Lire cet article