Comment avoir la fibre quand on n'est pas éligible ? La fibre optique est une véritable révolution dans le domaine d'internet et de l'information. En effet, elle permet d'obtenir des débits bien supérieurs à l'ADSL. Les réseaux de la fibre optique couvriront 80 % des foyers en France en 2022. Selon votre éligibilité, vous pouvez […]

Cet article Comment avoir la fibre quand on est pas éligible ? est apparu en premier sur Tutos-Informatique.

Synology vient de mettre à jour ses anciens produits restés sous SRM 1.2 et SRM 1.1. En effet, le fabricant met à disposition SRM 1.2.5 Update 8 et SRM 1.1.7 Update 4…  regardons de plus près ces deux nouvelles mises à jour. Synology SRM 1.2.5 et SRM 1.1.7 mis à jour On en parlait encore récemment, il est important de faire confiance à des fabricants mettant à jour régulièrement les logiciels internes de leur produit. Souvent, au fil des années, […]

Aujourd’hui, nous vous présentons le routeur Wi-Fi ASUS RT-AXE7800. Il s’agit d’un appareil assez haut de gamme qui offre une connectivité sans fil rapide avec de nombreuses fonctionnalités. Sur le papier, le produit semble parfait… et il faut avouer qu’il possède de nombreux atouts. Cependant, nous avons rencontré également quelques petits soucis. Découvrez de plus près notre expérience de ce routeur. ASUS RT-AXE7800 Le RT-AXE7800 est le dernier routeur Wi-Fi 6E du fabricant ASUS. Il offre une connectivité sans fil […]

Synology vient de mettre en ligne une nouvelle version du logiciel interne pour ses routeurs : SRM 1.3.1 Update 4. Cette mise à jour apporte plusieurs améliorations comme la prise en charge du Google Pixel 6a en connexion USB et la conformité avec la réglementation sur les connexions Wi-Fi en Thaïlande… mais ce n’est pas tout. L’Update 4 contient une longue liste de corrections. Synology SRM 1.3.1 Update 4 Après l’Update 3 du mois de janvier, Synology continue de faire […]

Cela fait plusieurs semaines que nous avons le Synology WRX560 en test. Il est temps pour nous de vous rendre nos conclusions. Ce routeur sans fil Wi-Fi 6 possède 5 prises réseau RJ45 dont l’une est compatible 2,5 Gb/s. Synology y a mis tout son savoir-faire, notamment applicatif, pour offrir un tout-en-un cohérent, mais pas sans quelques oublis. Test Synology WRX560 Synology est un fabricant de NAS bien connu. Il propose des produits performants avec une interface d’administration de haut […]

En feuilletant les actualités ce week-end, je suis tombé sur un article dévoilant la mise en ligne d’un nouveau service de DNS européen : dns0.eu. Les fournisseurs de DNS sont relativement nombreux, mais sûrement pas tous respectueux de vos données. DNS européen, gratuit et respectueux On connaît tous les fameux DNS de Google avec notamment 8.8.8.8 ou ceux de Quad 9. Jusqu’à il y a quelques jours, j’utilisais encore ceux de Cloudflare avec sa version limitant les risques de Malware. […]

La Freebox Detla est sortie en décembre 2018 , plus de 4 ans déjà et c'est un bijou de technologie. En effet, elle permet d'offrir un débit exceptionnel, un player avec une enceinte de la marque Devalialet mais aussi un Wifi dernière génération le 6E. La Freebox est vendue en offre Triple Play (Internet, Télé, […]

Cet article Freebox Detla : La meilleure box du marché ? est apparu en premier sur Tutos-Informatique.

QNAP annonce l’arrivée d’un nouveau switch, le QSW-M2106R-2S2T. Il s’agit d’un commutateur réseau de 6 ports 2,5 Gb/s, 2 ports 10 Gb/s RJ45 et 2 ports 10 Gb/s SFP+. Le boîtier a la particularité de pouvoir fonctionner en rack. Le mode rackable peut se faire avec 2 switches ou un seul avec un adaptateur. Le QSW-M2106R-2S2T est bien entendu administrable depuis un navigateur Web. Son prix : 550€ HT (soit 660€ TTC). QNAP QSW-M2106R-2S2T Le QNAP QSW-M2106R-2S2T est un boîtier […]

Si vous voulez sécuriser les accès à vos serveurs web vous pouvez utiliser des Reverse Proxy. Le plus connu c'est NGINX , il est gratuit, rapide et très simple à prendre en main. Mais il faut souvent modifier les fichiers de configuration et c'est parfois galère. Nginx Proxy Manager permet de tout configurer depuis une […]

Cet article Nginx Proxy Manager : Administrer facilement votre Reverse Proxy est apparu en premier sur Tutos-Informatique.

Aujourd'hui, tout le monde veut une connexion internet plus rapide et plus fiable. Cependant, comment savoir si vous êtes réellement satisfait de votre bande passante actuelle ? Face à cette question, il est important de comprendre comment mesurer sa propre vitesse et le débit de sa connexion internet. Heureusement, il existe des tests de bande […]

Cet article Comment mesurer sa vitesse et le débit de sa connexion internet ? est apparu en premier sur Tutos-Informatique.

Découverte et mise en place de l’outil.

Initialement, je voulais présenter le logiciel Ping Castle, qui est un logiciel permettant d’auditer les domaines Active Directory, qui est Open Source, gratuit pour un usage personnel, et qui plus est est français ! #Cocorico.

Cependant, j’ai vu qu’il y a quelques mois le site IT-Connect avait d’ores et déjà publié un article à ce sujet, et voulant tout de même parler d’audit d’AD je me suis rabattu sur un soft propriétaire mais tout aussi performant, voir plus complet : Purple Knight… Second bémol, Florian Brunel toujours d’IT-Connect a aussi posté un article sur ce soft…

Mais bref, ce n’est ni le premier et je ne serai ni le dernier à parler de ce genre de logiciel donc autant se lancer ! Au passage je vous conseille vivement d’aller voir ses articles à lui, même si vous les avez déjà sûrement déjà parcouru

Bref, allons-y !

I) Auditer un Active Directory ?

En entreprise, c’est bien joli d’avoir un pare-feu dernière génération, de sensibiliser ses utilisateurs sur les dangers du phishing, de maintenir son parc à jour en temps réel, mais on oublie trop souvent les misconfigurations, les oublis, les « je ferai ça plus tard« , ou encore les « c’est déjà assez secure comme ça non ?« .

Ce n’est clairement pas un reproche, Active Directory est si complet que connaître toutes les best-practices, surtout en terme de sécurité, ça demande un temps considérable et ce n’est même pas humainement faisable.

Heureusement pour nous, il existe pléthore d’outils permettant d’auditer notre domaine. Que ce soit dans le monde Open Source (PingCastle), ou propriétaire (Purple Knight), et tant d’autres.

II) Here comes Purple Knight

Purple Knight est donc un soft édité par la société Semperis, très connue pour ses solutions de sécurité directement liées à AD/Azure AD.

Pour le télécharger, rien de plus simple, on se rend ici. Au niveau de ce lab, j’aurais une simple VM Active Directory avec quelques OUs et quelques users, rien de transcendant, et j’aurais une seconde VM qui hébergera justement l’outil d’audit.

Concernant l’installation à proprement parler, il n’y en a pas réellement, c’est un simple .exe qui exécutera ensuite une série de scripts Powershell. Libre à vous donc de l’utiliser directement sur votre machine et non sur un serveur dédié forcément prévu pour ça.

III) Démarrage et premier audit

Une fois le soft lancé, c’est du « Suivant suivant ». On accepte en premier lieu les CGU :

Si votre ordinateur/serveur fait déjà parti du domaine, celui-ci sera détecté automatiquement, sinon vous devrez modifier vos DNS et l’encoder manuellement :

On peut ensuite choisir quel groupe de tests va être exécuter, on peut bien-entendu adapter au besoin, le tout est assez bien fichu :

Et c’est tout ! La série de tests se lancent :

Vous obtenez ensuite un « score de sécurité globale », ainsi qu’un fichier report au format HTML ou CSV, voir PDF :

Voici un exemple du dit rapport, bien-entendu selon le domaine en question il va de soit que le score et les points seront différents… le tout est en anglais (forcément ?), mais très bien détaillé !

On notera qu’il s’agissait ici d’un domaine « fraîchement installé », comme quoi même avec une installation basique, impossible d’attendre le St Graal. Si vous avez un minimum peuplé votre AD, votre score en pâtira clairement, mais comme vous pourrez le constater avec les différentes explications et ressources, il est très facile de corriger le tir.

IV) Conclusion

Ceci clôture donc déjà cet article sur la présentation de Purple Knight. Il existe comme dit en début bien d’autres outils d’audit, que ce soit pour Active Directory mais pour beaucoup d’autres services aussi.

J’espère comme d’habitude vous avoir appris quelques bricoles, voir plus, et vous donne rendez-vous bientôt pour un article où nous nous attaquerons très sûrement à une box TryHackMe, histoire d’avoir un peu plus de pratique !

Sur ce, une bonne journée/soirée à vous !

L’article Découverte de Purple Knight est apparu en premier sur Notamax.

Wireguard avec serveur Debian et client W10.

Petit article expliquant comment installer Wireguard en tant que serveur sur une Debian 10, et comment ensuite installer son client Windows 10 sur une machine en dehors de ce réseau, de sorte à tester le VPN en mode Client-to-Site.

Sans plus attendre, allons-y !

I) Présentation du lab

Une fois n’est pas coutume, c’est armé de mon petit VMWare Workstation que je ferai ce lab. Et comme toujours, rien de compliqué !

• fw-brussels-01, en 192.168.0.20/24 pour le WAN, et 192.168.1.1/24 pour le LAN ;
• fw-paris-01, en 192.168.0.30/24 pour le WAN, et 192.168.2.1/24 pour le LAN ;
• hoster-vpn-01, en 192.168.2.50/24, sur le réseau LAN de Paris ;
• client-w10, en DHCP et sur le réseau LAN de Bruxelles ;

Le but ici était donc de mimer deux réseaux distincts, avec un serveur VPN présent à Paris, et un client présent à Bruxelles souhaitant s’y connecter.

Côté Firewall –ce n’est pas important– mais il s’agit de simples pfSenses. Fortigate, Sophos, ou même votre simple modem personnel peut suffire, il faudra simplement réaliser du Port Forwarding vers votre serveur VPN.

I) Installation de Wireguard sur Debian 10

Je ne vais pas vous faire l’affront de vous ré-expliquer ce qu’est Wireguard (un protocole ET un software, comme pour OpenVPN), je vous renvois sur un ancien article en lieu et place :

Découverte d’OPNSense et Wireguard (VPN Site-à-Site)

Donc, une fois connecté en SSH sur votre joli petit serveur, installons donc le package (on ajoute le dépôt buster-backports, un petit refresh, et le tour est joué) :

sh -c "echo 'deb http://deb.debian.org/debian buster-backports main contrib non-free' > /etc/apt/sources.list.d/buster-backports.list"
apt update && apt install wireguard -y

Une fois installé, place à la configuration du serveur !

II) Configuration du serveur Wireguard

La première étape est donc de générer notre paire de clefs publique/privée :

cd /etc/wireguard
# Les fichiers créés dans ce répertoire auront ces permissions de base
umask 077
# Création de la paire de clefs
wg genkey | tee /etc/wireguard/privatekey | wg pubkey | tee /etc/wireguard/publickey

Une fois notre paire de clefs générée, on créer le fichier de configuration :

touch /etc/wireguard/wg0.conf

L’interface par défaut sera donc nommée wg0, mais rien ne vous empêche de la nommer vpntest ou encore wg17 si vous avez plusieurs VPN.

Maintenant, place à la configuration :

Dans ce fichier on renseignera donc :

• L’IP de notre interface réseau ;
• Le fait de ne pas sauvegarder automatiquement l’état de la carte réseau lors de son arrêt ;
• Le port sur lequel Wireguard va écouter ;
• Notre Private Key ;
• Le PostUp/PostDown, qui sont des commandes IPtables permettant de réaliser du forward ainsi que du NAT ;
• Nos peers, c’est-à-dire nos clients (voir plus bas) ;

A noter que si votre interface réseau physique se dénomme par ex. eth0, renseignez donc eth0 et non pas ens33 comme dans l’exemple !

### Configuration du serveur
[Interface]
Address = 192.168.2.50/24
ListenPort = 51820
PrivateKey = VotrePrivateKey
SaveConfig = false
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens33-j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens33 -j MASQUERADE


### Configuration des clients
[Peer]


# Windows 10 test client
PublicKey = CléPubliqueDuClient
AllowedIPs = 10.0.0.1/28

On peut ensuite démarrer le service, et l’activer à chaque démarrage :

systemctl start wg-quick@wg0 && systemctl enable wg-quick@wg0

Comme on peut le voir ici, le service est bien démarré !

Il nous reste encore à activer l’IP Forwarding, pour ce faire, rien de plus simple :

nano /etc/sysctl.conf 

# Décommentez ensuite la ligne suivante
net.ipv4.ip_forward=1

Côté serveur, tout est bon ! Il vous faudra simplement modifier la section Peers pour renseigner la clef publique ainsi que l’IP qu’aura votre/vos client(s).

IV) Installation du client Windows

Rien de plus facile ! On télécharge le client, au format exe ou msi depuis ce site, et on l’installe (Suivant, Suivant… rien de sorcier).

Ensuite, il nous faudra générer la paire de clefs pour ce client, et la rajouter sur notre serveur Wireguard (voir fichier wg0.conf plus haut). Pour ce faire, on retourne sur notre petite Debian :

wg genkey | tee /etc/wireguard/privatekey_w10_client01 | wg pubkey | tee /etc/wireguard/publickey_w10_client01

Comme vous pouvez le voir, c’est exactement la même commande que pour la paire des clefs générée pour le serveur lui-même en début d’article, mais ici bien-entendu on change le nom de fichier pour la pub/private key :

Prenez donc cette clef publique, et décrivez le client dans votre fichier wg0.conf, voir plus haut.

Une fois ceci fait, on peut créer le fichier de config sur notre client :

[Interface]
PrivateKey = WBbkdVpjwR+1Vz1uAEaKg9QcKpvnjZIjqdh7XJZ2EUA=
Address = 10.0.0.1/28
DNS = 1.1.1.1, 192.168.2.1

[Peer]
PublicKey = qw1dykit4465369rHrIr8ETckP9fmCDR5vB7UetbXmA=
AllowedIPs = 192.168.2.0/24
Endpoint = 192.168.0.30:51820

Le tout dans un petit fichier de type « maconfig.conf » par exemple, et c’est tout ! Importez-le sur le client Wireguard and here we go.

On renseigne donc :

• Sa Private Key ;
• Son adresse pour le tunnel ;
• Le ou les serveurs DNS à utiliser ;
• La Public Key du serveur WIreguard ;
• Concernant le champ AllowedIPs, soit vous pouvez rajouter le réseau distant, pour ne router que le trafic à destination de ce réseau via le VPN, soit si vous désirez router la totalité de votre trafic, vous pouvez mettre « 0.0.0.0/0, ::/0 » pour l’IPv4 et IPv6 respectivement ;
• Et enfin concernant l’Endpoint, il s’agit ni plus ni moins que l’IP/L’hostname du serveur distant. Ici il s’agit donc de l’IP WAN de mon pfSense, où j’ai réalisé un simple port forwarding sur le port 51820 en UDP, à destination de mon serveur Wireguard ;

Une fois ceci fait, on peut tester notre connexion !

V) Test et conclusion

Des images valent mieux que mille mots, voici donc ! A noter que je me suis même permis d’installer rapidement un simple serveur Apache sur le LAN distant pour bien vérifier que notre client à accès au réseau.

Vous avez donc réussi à mettre en place un serveur Wireguard sous une Debian, ainsi qu’à connecter un client sous Windows 10, félicitations !

Je ferai sûrement un prochain article dans le cadre de la mise en place d’un VPN de type Site-to-Site.

Comme à mon habitude, j’espère que ce rapide article vous aura plus, et je vous souhaite une bonne journée/soirée !

L’article Wireguard: VPN Client-to-Site est apparu en premier sur Notamax.

Très court article expliquant comment résoudre le bug OpenVPN C2S.

Netgate a annoncé il y a quelques semaines la sortie de pfSense+ 22.05. Cependant, après cette mise à jour, plusieurs utilisateurs se sont rendus compte qu’OpenVPN –particulièrement les serveurs Site-to-Site de ce que j’ai pu lire– ne fonctionnaient plus… la connexion s’affiche bien comme établie, mais impossible pour le client d’accéder au LAN du serveur distant.

Après quelques rapides recherches, je suis tombé sur plusieurs posts où les utilisateurs s’en sont plaint (ici par exemple), avec une réponse qui revenait assez souvent: ré-installer la dernière version, qui visiblement n’updatait pas correctement le package OpenVPN, puis ré-importer un backup et le tour est joué… ou bien update le paquet OpenVPN en SSH…

Ou alors simplement modifier les paramètres du client ?

Le soucis, c’est qu’en production, c’est toujours un peu casse-pieds de réinstaller un routeur/firewall à la volée, encore plus pour un site distant, et étant un tantinet flemmard (mais paraît-il qu’un bon Sysadmin est fainéant? Puis c’est lundi matin…), je me suis un peu plus documenté et j’ai testé une solution apportée par l’utilisateur Neverstopdreaming, et il s’avère que celle-ci fonctionne à merveille ! Bon, selon d’autres sa solution ne fonctionnait pas chez eux, mais je planche plutôt pour d’autres soucis de configuration.

Bref, voici la solution: Sur le client, aller dans les paramètres OpenVPN, et ne pas renseigner le champ IPv4 Tunnel Network, ni le champ IPv4 Remote Network. Car à première vue, avec cette nouvelle mouture d’OpenVPN, le serveur push ces informations là directement au client… Il ne vous reste plus qu’à redémarrer le service, et le tour est joué !

Bien-entendu, à l’heure où j’écris ces lignes je ne suis pas sûr et certain que ce soucis ne vienne pas d’autre part, ou tout dû moins qu’il faille obligatoirement modifier sa config, j’effectue encore plusieurs tests sur le côté, mais visiblement cela a solutionné mon problème, donc je me permets de vous la partager ici aussi, sait-on jamais

Sur ce, passez une bonne journée/soirée, et comme d’habitude, faites des backups !

L’article pfSense+ 22.05, bug OpenVPN est apparu en premier sur Notamax.

Découverte d’un NAC OpenSource.

Aujourd’hui un petit article qui parlera de l’installation de PacketFence, un NAC OpenSource et gratuit permettant d’augmenter grandement la sécurité de son réseau ! Comme d’habitude, nous verrons ensemble ce qu’est un NAC, son utilité, et nous décrirons rapidement l’outil, puis nous passerons à son installation.

Sans plus attendre, allons-y !

I) NAC, NUC… kézako ?

Un NAC, pour Network Access Control, est un élément réseau regroupant diverses fonctionnalités permettant de protéger l’accès à son réseau, que ce soit filaire ou wi-fi. A la différence d’un serveur Radius unique par exemple, il permet d’aller plus loin en permettant du profiling notamment (voir plus), de sorte que :

• Si l’OS de la machine est de type X, la placer dans le VLAN X ;
• Si la base virale de la machine est dépassée, la placer dans le VLAN Y ;
• L’on peut vérifier en temps réel les différentes machines autorisées ou non sur chaque portion de réseau ;
• L’on peut créer un portail captif avec authentification par SMS, OpenLDAP, ActiveDirectory, et plus encore ;
• Si la machine n’a pas le couple MAC Adress/Certificat TLS requis, celle-ci est bloquée ou placer dans un VLAN X (assignation dynamique de VLANs, comme pour RADIUS) ;
• L’on peut l’utiliser en tant qu’IDS, voir le coupler avec un IPS en lui faisant remonter divers logs ;
• . . .

A ne pas confondre avec un NUC donc, qui n’est rien d’autre qu’un PC small-factor de chez Intel.

II) PacketFence, le NAC OpenSource

PacketFence est un des NAC OpenSource les plus utilisés. Il est très souvent mis à jour, fiable, et stable (sorti aux alentours de 2009) et regorge de fonctionnalités et ait doté d’un grand support de fabricants (Ubiquiti, Cisco, HP, et plus encore). Il permet d’être utilisé comme serveur RADIUS, comme IDS, comme Portail Captif, et beaucoup d’autres services encore…

III) Installation

Concernant l’installation, trois choix majeurs s’offrent à vous :

• Vous pouvez utiliser le template OVF fourni directement ;
• Vous pouvez installer PacketFence directement sur une Debian/RedHat ;
• Vous pouvez utiliser l’ISO Debian qui va se charger de tout vous installer ;

J’ai personnellement opté pour la troisième solution, donc allons-y !

Après avoir booté sur l’ISO, on peut démarrer l’installateur qui se charge illico d’installer les différentes dépendances, et en quelques secondes on nous demande de renseigner le nom d’hôte de notre VM :

On renseigne ce que l’on souhaite, et ensuite on renseigne notre domaine.

On renseigne ensuite le mot de passe root, et ici attention car comme vous l’aurez sûrement remarqué en tapant le hostname, le clavier par défaut est en qwerty !

Et c’est tout ! L’installation se termine tranquillement d’elle-même :

Une fois l’installation terminée, vos différentes interfaces sont en théorie en DHCP, ici j’en ai deux, une qui servira de management, et l’autre pour tout ce qui est services. Le root login est disponible par défaut en SSH (à modifier avant mise en production !), mais cela nous permet de rapidement setup une IP statique. Nous aurons donc ceci :

• Management : 192.168.0.100/24 ;
• Services : 192.168.10.50/24 ;

En nous rendant donc sur notre interface de management, sur le port 1443 nous obtenons notre interface web :

Comme on peut le voir ici, l’interface de management sera eth0, on peut éventuellement cliquer sur le wizard Détecter l’interface Management, et éventuellement d’ores et déjà configurer notre seconde interface mais je préfère réaliser cela une fois la configuration initiale terminée, histoire d’éviter d’éventuels soucis.

On clique donc sur Étape suivante !

Ici on re-renseigne le domaine ainsi que le nom d’hôte de la machine, puis le fuseau horaire, on peut éventuellement utiliser le service tracking-config qui –à première vue– permet de garder une trace des changements effectués sur la configuration, puis on peut configurer tout ce qui est SMTP pour l’envoi de mail, et enfin renseigner un mot de passe administrateur. Concernant la partie base de données, les mots de passe sont générés aléatoirement.

Une fois validé, et après avoir bien sauvegardé les passwords par défaut, on peut éventuellement renseigner un proxy ainsi qu’une clé d’API :

Et heureuse surprise pour ceux qui n’ont pas sauvegardé le password par défaut (on vous voit), on a droit à un petit résumé avec les mots de passes utilisés :

On clique ensuite sur Démarrer PacketFence, et le tour est joué !

Et tadaaaa, après s’être connecté sur notre jolie interface web, on peut commencer à s’amuser !

Et c’est ici que ça devient intéressant ! Place au RADIUS, aux VLANs, aux scans IDS et plus encore !

Sauf que nous en resterons là pour le moment… j’ai de nouveau une période assez (sur)chargée ces derniers temps, preuve en est avec mon dernier article datant d’un mois, mais sachez que plusieurs articles sur PacketFence arrivent, c’est promis ! :p

Sur ce, j’espère au minimum avoir su attisé votre curiosité pour ce soft qui s’annonce vraiment pratique, et au mieux vous avoir aidé pour son installation, même si celle-ci n’est clairement pas des plus complexes.

Une bonne journée/soirée à vous !

L’article Packetfence, découverte & installation est apparu en premier sur Notamax.

Les DNS sont les annuaires d’Internet. C’est grâce à eux qu’il est possible d’accéder aux sites web et aux ressources sur Internet via les noms de domaine tels que www.google.fr : les DNS traduisent en effet automatiquement les noms de domaine en adresses IPv4 ou IPv6 qui sont ensuite interprétées par les ordinateurs. Chaque fois que vous faites quelque chose sur Internet...

Source