Le Blog Utux

HTTP 200 GET /

ESET Nod32 usurpe mes certificats SSL ?

Rédigé par uTux 5 commentaires

J'ai un ordinateur de gaming sous Windows avec l'antivirus ESET Nod32 (il me restait une licence dans un coin). Et ce matin j'ai remarqué un truc intéressant : ce bougre usurpe l'identité de mes certificats SSL. En effet mon blog, utux.fr, est signé par Let's Encrypt. Or, sur ma machine avec ESET Nod32 installé, voici ce que Firefox affiche :

ESET

ESET installe sa propre autorité de certification dans Windows (ce qui rend l'usurpation possible) et re signe les certificats que vous utilisez. Pourquoi ? Le but des certificats signés c'est pas justement de valider la chaîne de confiance jusqu'au serveur ? D'empêcher des interceptions ? Ce que fait ESET Nod32 est justement ce que l'on cherche à éviter non ? Que se passe-t-il si une porte dérobée est découverte dans Nod32 et permet à des personnes mal intentionnées de signer tout et n'importe quoi sur ma machine ?

Chiffrement : merci Apple

Rédigé par uTux Aucun commentaire

Avec quelques jours de retard, je livre aussi mes réactions sur le déchiffrement de l'iPhone par le FBI. En résumé ils ont été contactés par une entreprise (dont le nom n'a pas été révélé) qui leur a "vendu" les détails d'une faille permettant de casser ou contourner la sécurité de l'appareil. Donc le FBI a accès aux données et n'a plus besoin de Apple. Beaucoup de gens y voient donc l'échec de la firme à la pomme car le système ne serait pas infaillible.

Et pourtant c'est faux, cela prouve encore une fois qu'on se focalise sur cette affaire bien précise alors que l'enjeu c'est le chiffrement. Apple n'a jamais voulu défendre un terroriste, ni même bloquer une enquête du FBI par plaisir. Non, leur but était de préserver leur système de chiffrement en refusant de l'affaiblir car cela aurait eu des conséquences néfastes pour tout le monde.

Le fait que le chiffrement ait été cassé/contourné n'est pas une première : les failles ça existe depuis toujours, sur tous les systèmes. Le fait que le FBI en ait acheté une prouve d'ailleurs que c'est un véritable business. Il est probable que le mystérieux interlocuteur connaissait cette faille depuis longtemps et attendait de la vendre au plus offrant.

La pression est donc retombée mais il est peu probable que cette affaire soit terminée pour autant. Attendons de voir la suite.

Récit d'une attaque portmap

Rédigé par uTux 3 commentaires

Tout a commencé avec des problèmes de lenteur sur notre connexion à internet au bureau. Un petit tour dans l'interface d'administration de la Freebox a montré une utilisation importante de la bande passante en upload même la nuit lorsque toutes les stations de travail sont éteintes. Heureusement derrière la Freebox il y a un routeur sous Linux par lequel tout le trafic passe, nous avons donc des outils plus poussés pour analyser ce qui transite.

iptraf a montré que le trafic n'était pas émis depuis une station de travail mais était généré en local (par le routeur lui-même) : était-il compromis ? Présence d'un rootkit ? Une petite vérification des processus avec ps et top semble indiquer que non, rien d'anormal. J'ai également vérifié à coup de md5sum que les binaires bash, ps, w, who, top n'avaient pas été altérés (en comparant avec une version sauvegardée il y a 1 mois).

Donc le routeur génère le trafic mais ne semble pas compromis, d'où vient donc le problème ? Sortons l'artillerie lourde : tcpdump. On sniffe 10secondes de trafic puis on récupère notre fichier pour l'ouvrir dans wireshark, c'est plus simple à lire. L'analyse montre un trafic composé exclusivement de paquets UDP / protocole Portmap. Une petite recherche rapide sur Google "high portmap trafic" me mène vers des articles d'Aout 2015 détaillant une forme de ddos basée sur portmap. C'est un ddos par amplification, c'est à dire que nous recevons des requêtes forgées qui font que nous générons ensuite des attaques vers d'autres serveurs. Or il se trouve que suite à un lourd historique (dette technique) la configuration du pare-feu était incorrecte et le port 111/UDP (portmap) du routeur était accessible depuis internet. La fermeture de ce port a mis fin aux attaques.

tcpdump / wireshark sont les meilleurs amis du sysadmin, et j'ai découvert également iptraf qui permet d'avoir une vue d'ensemble du trafic ce qui permet d'établir un premier diagnostic. Un pare-feu bien configuré est indispensable car même si des services ne sont pas utilisés ou sont censés répondre uniquement en local, des failles sont toujours possibles.

Free + bridge + IPv6

Rédigé par uTux 37 commentaires

Comme je l'ai dit dans mon article sur la fibre Free, la Freebox n'est vraiment pas terrible, j'ai donc rapidement acheté un routeur pour la remplacer. J'ai pris un Asus RT-AC66U, modèle relativement satisfaisant qui supporte le Wi-Fi 5GHz mais aussi plusieurs firmwares alternatifs (actuellement Merlin).

J'ai beaucoup hésité à écrire cet article sachant qu'il serait indigeste, mais il constitue un bon exercice pour IPv6 et peut aider ceux qui ont leur Freebox en bridge.

Principe

En IPv4 le principe est simple : on configure la Freebox en bridge ce qui permet au routeur de récupérer directement l'IP publique. A lui ensuite de faire le NAT pour donner l'accès à internet aux machines du réseau. Mais en IPv6, comment fait-on ?

Tout d'abord la stack IPv4 ne change pas, on va configurer notre IPv6 à côté sans incidence. On n'utilise pas de "NATv6" mais du bon vieux routage à l'ancienne, avec de la délégation de préfixe, bref un vrai réseau tout propre. En fait, chaque machine du réseau aura une "IPv6 publique" (cette affirmation est un pléonasme). On va avoir besoin de :

  • 1 sous-réseau IPv6 en /64 pour la partie WAN, avec 2 adresses (Freebox et Routeur côté WAN)
  • 1 sous-réseau IPv6 en /64 pour la partie LAN, avec 1 adresse (Routeur côté LAN)

Voici ce que cela donne avec un schéma et des adresses bidon :

Mise en place

La première chose à faire consiste à se rendre dans l'interface de configuration de la freebox grâce à l'adresse mafreebox.free.fr qui fonctionne même si vous êtes en bridge.

Puis rendez-vous dans : Paramètres de la Freebox, onglet Mode avancé, Configuration IPv6.

  1. A cocher, bien évidemment.
  2. Adresse IPv6 de lien local de la Freebox.
  3. Le premier préfixe qu'on va déléguer au routeur (pour le WAN). Notez qu'il se termine par 5430.
  4. Mettre l'adresse IPv6 de lien local de l'interface WAN du routeur (à récupérer par exemple avec ip addr ou ifconfig en SSH sur le routeur).
  5. Le second préfixe qu'on va aussi déléguer au routeur (pour le LAN cette fois). Il se termine par 5431.
  6. Mettre l'adresse IPv6 de lien local de l'interface WAN du routeur - la même que pour le point 4.
  7. Encore un préfixe, mais on ne va pas l'utiliser, on a tout ce qu'il nous faut !

Maintenant, on passe à la configuration du routeur. Voici pour l'Asus RT-AC66U :

  1. Type de connexion, ici c'est du statique.
  2. Le WAN du routeur (premier préfixe 5430 suivi de ::2).
  3. 64.
  4. Le WAN freebox (premier préfixe 5430 suivi de ::1).
  5. Le LAN du routeur (second préfixe 5431 suivi de ::1).
  6. 64.
  7. Pour info.
  8. Type d'advertisement sur votre LAN. Le stateless laisse les machines s'auto-configurer. Stateful est du DHCPv6. Il vaut mieux sélectionner stateless.

Comment tester

Conclusion

La Freebox n'a pas une seule IPv6, ni même un seul réseau IPv6, elle en a plusieurs. Et dans notre cas elle en délègue deux à notre routeur. Les avantages ? Possibilité de gérer vous-même le pare-feu (la Freebox n'en a pas) et aussi de modifier plusieurs éléments (comme les DNS diffusés).

Récit d'une nuit au datacenter

Rédigé par uTux 4 commentaires

Mon blog a pour sous-titre "le sysadmin qui raconte des histoires". Voici donc le récit d'une nuit passée au datacenter pour remettre en fonctionnement nos serveurs suite à une coupure électrique.

Dans la nuit du 30 Juin au 1er Juillet 2015 un important incident électrique a eu lieu dans l'Ouest de la France, impactant de nombreuses villes en Bretagne et dans les Pays de Loire. J'étais d'astreinte cette nuit là et je ne parvenais pas à dormir en raison de la chaleur (38°c en fin de soirée).

0h00. Je constate que plusieurs de nos serveurs ne répondent pas : absence de ping et pas d'accès IPMI / iDRAC donc impossible de faire quoi que ce soit à distance. Je dois donc me rendre en urgence au datacenter.

01h00. Arrivé sur place je croise d'autres techniciens venus eux aussi réparer leurs serveurs. J'entre mais n'ayant pas le code pour ouvrir la baie je suis obligé d’appeler mon collègue. Celui ci me le fourni et me propose de venir me filer un coup de main : vu la situation j'accepte. Une fois la baie ouverte je fais un contrôle visuel des voyants, tout est au vert, la raison de la panne est donc plus profonde. En branchant un PC sur le switch de la baie je fais un premier diag et je constate que les machines virtuelles sont toutes en carafe ainsi que deux serveurs physiques. Je note aussi que les quelques équipements fonctionnels ont un uptime d'à peine une heure, il y a donc eu un redémarrage général (non prévu).

01h30. J'ai trouvé la cause du non démarrage des VMs : le datastore iSCSI est offline. Heureusement je parviens à le remonter rapidement : le daemon iscsi-target était arrêté sur le SAN. Après l'avoir lancé je remonte les VMs, tout passe sauf quelques vieux serveurs Windows qui affichent des BSOD. Je charge une iso win2k3 puis tente des chkdsk mais rien à faire. Mon collègue est arrivé et a emmené de quoi tenir : des gâteaux et de l'eau. Nous attaquons donc ensemble le diagnostic de ces VMs Windows qui ne veulent pas démarrer et comprenons qu'il faut les mettre sur même serveur Xen qu'avant leur exctinction. En effet notre infra Xen est composée de 3 serveurs reliés à un datastore et les VMs peuvent démarrer dessus au choix. Cela ne pose pas de problèmes pour Linux, en revanche un vieux Windows n'aime pas. Nous faisons donc plusieurs essais jusqu'à trouver le serveur qui leur convient, nous paramétrons ensuite Xen pour que ces VMs précisent ne puisse démarrer que sur celui-là.

03h00. Les machines virtuelles sont maintenant fonctionnelles mais pas certains serveurs physiques, nous cherchons donc la raison. En fait un switch réseau a perdu partiellement sa configuration, probablement parce qu'elle n'a pas été sauvegardée dans la flash. En effet si vous avez fait du Cisco vous savez probablement qu'il y a plusieurs niveaux de sauvegarde de la configuration : le running-config (effacé au redémarrage) et le startup-config (permanent). Après avoir réaffecté les VLANs aux bons ports, les serveurs physiques repassent enfin en UP, sauf un.

03h30. Sur ce serveur réticent nous branchons un écran + clavier et constatons qu'il est bloqué au niveau de Grub. Après avoir booté un LiveCD de Gparted nous lançons une réparation du RAID1 logiciel qui est cassé à l'aide de mdadm. Mais la reconstruction ne suffit pas, Grub refuse toujours de booter. Nous démarrons alors à nouveau sur le LiveCD et faisons un chroot pour réinstaller Grub, à coup de update-grub et grub-install (sur sda puis sdb). Cette fois ça fonctionne !

04h30. Échange téléphonique avec le CTO qui nous aide à vérifier que tous les services sont bien rétablis. Nous corrigeons les derniers problèmes existants.

6h00. Nous partons nous coucher pour pouvoir attaquer la journée à 09h00. En ouvrant la porte de sortie du datacenter je constate qu'il fait jour et que le sol est humide alors que j'y suis rentré de nuit sous une chaleur étouffante. J'aperçois aussi d'autres techniciens aller et venir avec des serveurs sous le bras, nous ne sommes donc pas les plus malchanceux.

Résumé : Une brève coupure électrique a provoqué l’extinction puis l'allumage de nos équipements. 1 serveur physique a cassé son RAID1, le datastore pour Xen n'a pas correctement démarré, et le switch a perdu partiellement sa configuration. Malgré la fatigue nous avons gardé la tête froide, aidés par l'adrénaline et les gâteaux. Nous avons résisté à cette épreuve du feu, en équipe, et avons gagné 1 journée de repos en compensation.

Fil RSS des articles de cette catégorie