Découverte et mise en place de l’outil.

Initialement, je voulais présenter le logiciel Ping Castle, qui est un logiciel permettant d’auditer les domaines Active Directory, qui est Open Source, gratuit pour un usage personnel, et qui plus est est français ! #Cocorico.

Cependant, j’ai vu qu’il y a quelques mois le site IT-Connect avait d’ores et déjà publié un article à ce sujet, et voulant tout de même parler d’audit d’AD je me suis rabattu sur un soft propriétaire mais tout aussi performant, voir plus complet : Purple Knight… Second bémol, Florian Brunel toujours d’IT-Connect a aussi posté un article sur ce soft…

Mais bref, ce n’est ni le premier et je ne serai ni le dernier à parler de ce genre de logiciel donc autant se lancer ! Au passage je vous conseille vivement d’aller voir ses articles à lui, même si vous les avez déjà sûrement déjà parcouru

Bref, allons-y !

I) Auditer un Active Directory ?

En entreprise, c’est bien joli d’avoir un pare-feu dernière génération, de sensibiliser ses utilisateurs sur les dangers du phishing, de maintenir son parc à jour en temps réel, mais on oublie trop souvent les misconfigurations, les oublis, les « je ferai ça plus tard« , ou encore les « c’est déjà assez secure comme ça non ?« .

Ce n’est clairement pas un reproche, Active Directory est si complet que connaître toutes les best-practices, surtout en terme de sécurité, ça demande un temps considérable et ce n’est même pas humainement faisable.

Heureusement pour nous, il existe pléthore d’outils permettant d’auditer notre domaine. Que ce soit dans le monde Open Source (PingCastle), ou propriétaire (Purple Knight), et tant d’autres.

II) Here comes Purple Knight

Purple Knight est donc un soft édité par la société Semperis, très connue pour ses solutions de sécurité directement liées à AD/Azure AD.

Pour le télécharger, rien de plus simple, on se rend ici. Au niveau de ce lab, j’aurais une simple VM Active Directory avec quelques OUs et quelques users, rien de transcendant, et j’aurais une seconde VM qui hébergera justement l’outil d’audit.

Concernant l’installation à proprement parler, il n’y en a pas réellement, c’est un simple .exe qui exécutera ensuite une série de scripts Powershell. Libre à vous donc de l’utiliser directement sur votre machine et non sur un serveur dédié forcément prévu pour ça.

III) Démarrage et premier audit

Une fois le soft lancé, c’est du « Suivant suivant ». On accepte en premier lieu les CGU :

Si votre ordinateur/serveur fait déjà parti du domaine, celui-ci sera détecté automatiquement, sinon vous devrez modifier vos DNS et l’encoder manuellement :

On peut ensuite choisir quel groupe de tests va être exécuter, on peut bien-entendu adapter au besoin, le tout est assez bien fichu :

Et c’est tout ! La série de tests se lancent :

Vous obtenez ensuite un « score de sécurité globale », ainsi qu’un fichier report au format HTML ou CSV, voir PDF :

Voici un exemple du dit rapport, bien-entendu selon le domaine en question il va de soit que le score et les points seront différents… le tout est en anglais (forcément ?), mais très bien détaillé !

On notera qu’il s’agissait ici d’un domaine « fraîchement installé », comme quoi même avec une installation basique, impossible d’attendre le St Graal. Si vous avez un minimum peuplé votre AD, votre score en pâtira clairement, mais comme vous pourrez le constater avec les différentes explications et ressources, il est très facile de corriger le tir.

IV) Conclusion

Ceci clôture donc déjà cet article sur la présentation de Purple Knight. Il existe comme dit en début bien d’autres outils d’audit, que ce soit pour Active Directory mais pour beaucoup d’autres services aussi.

J’espère comme d’habitude vous avoir appris quelques bricoles, voir plus, et vous donne rendez-vous bientôt pour un article où nous nous attaquerons très sûrement à une box TryHackMe, histoire d’avoir un peu plus de pratique !

Sur ce, une bonne journée/soirée à vous !

L’article Découverte de Purple Knight est apparu en premier sur Notamax.

Installation du logiciel de gestion de parc informatique Open Source.

GLPI, pour Gestionnaire Libre de Parc Informatique, est… et bien son nom l’indique ! Un logiciel qui va nous permettre d’inventoriser notre parc informatique, le tout de manière gratuite et libre.

Je ne vais pas le détailler de fond en comble tant celui-ci est connu dans le monde Open Source, mais ce dernier va nous permettre de :

• Gérer un inventaire de nos différentes machines et équipements, des laptops aux écrans, en passant par les serveurs, les dockings… ;
• Obtenir une vue de nos différents racks informatiques, avec la possibilité de voir le nombre de baies encore disponibles ;
• Encoder les différentes factures d’achats, et les relier aux différents équipements ;
• Gérer l’aspect Helpdesk via un système de ticketing, même si personnellement je préfère la solution Hesk à cet égard ;
• . . .

La liste est encore longue, d’autant plus avec les nombreux plugins mis à disposition !

Courant avril la version 10.0 est sortie, et pour ceux connaissant déjà GLPI, voilà à quoi l’interface ressemblait il y a plusieurs années…

Pas forcément très séduisant n’est-ce pas ? Et bien désormais, c’est une véritable refonte graphique qui a eut lieu ! Regardez ce changement ! (En plus de plusieurs optimisations et fonctionnalités majeures rajoutées !)

Quand même un sacré changement non ? Je comptais depuis plusieurs mois voir années faire un article sur son installation, et avec cette mise à jour majeure récemment sortie, je m’y suis donc enfin mis.

Sans plus attendre, allons-y !

I) Installation de GLPI

Nous partirons sur une classique debian 10, et une fois celle-ci installée et configurée de manière basique, nous allons pouvoir commencer à nous atteler à l’installation de notre soft.

Tout d’abord, les prérequis :

• Un serveur web, dans notre cas ce sera un classique apache ;
• Une base données, ici ce sera mariadb ;
• PHP 7.4 à 8.1, concernant la version 10.0 que nous allons installer. Au passage, en voulant installer la version 8.0 j’ai obtenu un joli « PHP 7.4.0 – 8.2.0 (exclusive) required« , donc nous allons installer la version 7.4 spécifiquement… ;

Sous Debian 10, en installant simplement le package « php« , la version 7.1 sera installée, nous allons donc installer manuellement la version 7.4.

# Serveur web et SGBD
apt update && apt install apache2 mariadb-server -y

On rajoute ensuite le dépôt PHP :

wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" | tee /etc/apt/sources.list.d/php.list

Puis on update les dépôts, et on installe la version 7.4 avec les dépendances requises par GLPI :

apt update && apt install php7.4 php7.4-curl php7.4-curl php7.4-gd php-json php7.4-mbstring php7.4-mysql php7.4-xml php7.4-xml php7.4-intl php7.4-xml php7.4-curl php7.4-gd php7.4-gd php7.4-intl -y && service apache2 restart

Passons ensuite à la configuration de notre base de données !

# Pour définir un mot de passe root, et faire les réglages de base
mysql_secure_installation

# On se connecte en CLI 
mysql -u root -p

# On créé notre base de données et son utilisateur 
create database glpi ;
create user 'glpi-user'@'localhost' identified by 'Pa$$W0Rd' ;
grant all privileges on glpi.* to 'glpi-user'@'localhost' ;
flush privileges ;

Bien-entendu, libre à vous de choisir un nom spécifique pour votre base de données, votre utilisateur, ainsi qu’un mot de passe.

On peut ensuite télécharge l’archive contenant la dernière version stable de GLPI (à l’heure où j’écris ces lignes) :

wget https://github.com/glpi-project/glpi/releases/download/10.0.1/glpi-10.0.1.tgz

On décompresse le tout, et on set les droits pour le serveur web :

gunzip glpi-10.0.1.tgz
rm glpi-10.0.1.tgz
rm -r /var/www/html/
cp glpi-10.0.1.tar /var/www/ && cd /var/www/
tar xvf glpi-10.0.1.tar
mv glpi html
chown -R www-data:www-data html/

Une fois le tout installé, on peut passer directement à l’interface web pour la finalisation !

Je vous conseille cependant d’aller lire la documentation, qui stipule de ne pas directement se ruer sur l’interface web, mais d’effectuer diverses configurations supplémentaires au niveau sécurité. Ici cela reste un lab/une présentation, mais toujours bon de le mentionner ! Surtout que leur doc’ est plutôt bien fournie.

II) Configuration de l’instance GLPI via la WebUI

Une fois notre langue choisie, on peut choisir l’option Install ou Update, ici ce sera donc Install :

Nous avons ensuite droit à un récapitulatif des extensions éventuelles manquantes, soit obligatoires, soit facultatives :

On renseigne ensuite les informations concernant notre base de données, ici elle est installée en local donc nous utiliserons 127.0.0.1 bien-entendu :

On choisi notre base de données sur laquelle notre utilisateur a les droits :

Et le tour est joué !

On peut ensuite éventuellement envoyer les statistiques d’usage, s’inscrire, expliquer comment nous avons connu GLPI… classique.

Puis un petit récap’ sur les identifiants et mots de passe par défaut, à changer une fois connecté bien-sûr :

III) Connexion à l’interface web

Le login par défaut pour le compte admin étant donc glpi/glpi, nous pouvons nous connecter et tadaaaa :

On notera les deux petits warnings, un concernant le changement de mot de passe par défaut (logique), et l’autre concernant la suppression du fichier d’installation.

IV) Conclusion

Vous avez donc terminé d’installer votre instance GLPI ! Bien-entendu, diverses optimisations sont possibles, et je n’ai pas parlé des plugins, cet article était avant tout une découverte et un tuto sur son installation.

Comme d’habitude, j’espère vous avoir appris quelques bricoles, et essayez de toujours privilégiez l’Open Source, ça en vaut la peine

Bonne journée/soirée à vous !

L’article GLPI : découverte et installation de base est apparu en premier sur Notamax.

Découverte d’un NAC OpenSource.

Aujourd’hui un petit article qui parlera de l’installation de PacketFence, un NAC OpenSource et gratuit permettant d’augmenter grandement la sécurité de son réseau ! Comme d’habitude, nous verrons ensemble ce qu’est un NAC, son utilité, et nous décrirons rapidement l’outil, puis nous passerons à son installation.

Sans plus attendre, allons-y !

I) NAC, NUC… kézako ?

Un NAC, pour Network Access Control, est un élément réseau regroupant diverses fonctionnalités permettant de protéger l’accès à son réseau, que ce soit filaire ou wi-fi. A la différence d’un serveur Radius unique par exemple, il permet d’aller plus loin en permettant du profiling notamment (voir plus), de sorte que :

• Si l’OS de la machine est de type X, la placer dans le VLAN X ;
• Si la base virale de la machine est dépassée, la placer dans le VLAN Y ;
• L’on peut vérifier en temps réel les différentes machines autorisées ou non sur chaque portion de réseau ;
• L’on peut créer un portail captif avec authentification par SMS, OpenLDAP, ActiveDirectory, et plus encore ;
• Si la machine n’a pas le couple MAC Adress/Certificat TLS requis, celle-ci est bloquée ou placer dans un VLAN X (assignation dynamique de VLANs, comme pour RADIUS) ;
• L’on peut l’utiliser en tant qu’IDS, voir le coupler avec un IPS en lui faisant remonter divers logs ;
• . . .

A ne pas confondre avec un NUC donc, qui n’est rien d’autre qu’un PC small-factor de chez Intel.

II) PacketFence, le NAC OpenSource

PacketFence est un des NAC OpenSource les plus utilisés. Il est très souvent mis à jour, fiable, et stable (sorti aux alentours de 2009) et regorge de fonctionnalités et ait doté d’un grand support de fabricants (Ubiquiti, Cisco, HP, et plus encore). Il permet d’être utilisé comme serveur RADIUS, comme IDS, comme Portail Captif, et beaucoup d’autres services encore…

III) Installation

Concernant l’installation, trois choix majeurs s’offrent à vous :

• Vous pouvez utiliser le template OVF fourni directement ;
• Vous pouvez installer PacketFence directement sur une Debian/RedHat ;
• Vous pouvez utiliser l’ISO Debian qui va se charger de tout vous installer ;

J’ai personnellement opté pour la troisième solution, donc allons-y !

Après avoir booté sur l’ISO, on peut démarrer l’installateur qui se charge illico d’installer les différentes dépendances, et en quelques secondes on nous demande de renseigner le nom d’hôte de notre VM :

On renseigne ce que l’on souhaite, et ensuite on renseigne notre domaine.

On renseigne ensuite le mot de passe root, et ici attention car comme vous l’aurez sûrement remarqué en tapant le hostname, le clavier par défaut est en qwerty !

Et c’est tout ! L’installation se termine tranquillement d’elle-même :

Une fois l’installation terminée, vos différentes interfaces sont en théorie en DHCP, ici j’en ai deux, une qui servira de management, et l’autre pour tout ce qui est services. Le root login est disponible par défaut en SSH (à modifier avant mise en production !), mais cela nous permet de rapidement setup une IP statique. Nous aurons donc ceci :

• Management : 192.168.0.100/24 ;
• Services : 192.168.10.50/24 ;

En nous rendant donc sur notre interface de management, sur le port 1443 nous obtenons notre interface web :

Comme on peut le voir ici, l’interface de management sera eth0, on peut éventuellement cliquer sur le wizard Détecter l’interface Management, et éventuellement d’ores et déjà configurer notre seconde interface mais je préfère réaliser cela une fois la configuration initiale terminée, histoire d’éviter d’éventuels soucis.

On clique donc sur Étape suivante !

Ici on re-renseigne le domaine ainsi que le nom d’hôte de la machine, puis le fuseau horaire, on peut éventuellement utiliser le service tracking-config qui –à première vue– permet de garder une trace des changements effectués sur la configuration, puis on peut configurer tout ce qui est SMTP pour l’envoi de mail, et enfin renseigner un mot de passe administrateur. Concernant la partie base de données, les mots de passe sont générés aléatoirement.

Une fois validé, et après avoir bien sauvegardé les passwords par défaut, on peut éventuellement renseigner un proxy ainsi qu’une clé d’API :

Et heureuse surprise pour ceux qui n’ont pas sauvegardé le password par défaut (on vous voit), on a droit à un petit résumé avec les mots de passes utilisés :

On clique ensuite sur Démarrer PacketFence, et le tour est joué !

Et tadaaaa, après s’être connecté sur notre jolie interface web, on peut commencer à s’amuser !

Et c’est ici que ça devient intéressant ! Place au RADIUS, aux VLANs, aux scans IDS et plus encore !

Sauf que nous en resterons là pour le moment… j’ai de nouveau une période assez (sur)chargée ces derniers temps, preuve en est avec mon dernier article datant d’un mois, mais sachez que plusieurs articles sur PacketFence arrivent, c’est promis ! :p

Sur ce, j’espère au minimum avoir su attisé votre curiosité pour ce soft qui s’annonce vraiment pratique, et au mieux vous avoir aidé pour son installation, même si celle-ci n’est clairement pas des plus complexes.

Une bonne journée/soirée à vous !

L’article Packetfence, découverte & installation est apparu en premier sur Notamax.