Les mains dans le cambouis…

Le moins qu’on puisse dire, c’est que je me suis laissé emporter par mes activités professionnelles depuis quelques semaines, au point de ne plus écrire ici et même de ne pas prendre le temps nécessaire à la lecture de mes emails personnels… Le rapport Naymz attendra encore un peu :(

Outre les aspects organisationnels qui m’ont pas mal occupé ces derniers temps, j’ai eu notamment la contribution intensive au prochain schéma directeur du service informatique, qui sera mis en ligne prochainement (*), tout comme les précédents de 2000 et 2005. Cela est la suite logique de la nouvelle organisation mais cela prend du temps de planifier dans le détail (si, si, dans le détail : budget, ressources et jours-hommes y compris, merci Ms Project et Excel !) sur 3 ans, l’ensemble des projets, qui se comptent comme vous pouvez vous en douter par plusieurs centaines ! Comprenez que je n’étais pas trop disponible ;)

(*) : Sincèrement, cela me gêne de voir de tels documents publiés, mais nous sommes un service public, et nous avons un devoir de transparenc vis à vis du citoyen. J’aimerai bien avoir vos avis sur ce point délicat !

Maintenant, j’ai encore des gros chantiers sur lesquels avancer rapidement, mais ceux-ci sont très techniques, d’où le titre de ce billet. Et me revoilà donc plongé jour (et nuit parfois) dans les Linux, les routeurs, etc…

1. eeePC + Backtrack3 on SDcard

J’ai fait l’acquisition de ce merveilleux ultraportable, l’eeePC de chez Asus. Pour faire bref, c’est un tout petit PC (un vrai, qui boote sous Linux et Windows) sans disque dur donc silencieux (c’est un SolidState Disk de 4Gb, bien suffisant pour moi) et avec plein de connectivité (3 USB + 1 SD + Wifi + Ethernet), un bon petit processeur qui fait son travail etc. Par défaut Asus installe un dérivé de la Debian avec tout ce qu’il faut : OpenOffice, Skype, Pigdin, etc… Le tout pour 300 euros, c’est donné !

Comme on peut booter sur USB et même sur carte SD, je ne me suis pas privé pour aller le faire avec la distribution BackTrack3 version USB, un système d’exploitation Linux qui est le must en matière d’outils de sécurité (plusieurs centaines). On met la carte SD dans l’eeePC, on allume le PC et c’est parti… tant qu’à faire on choisit l’environnement 3D Compiz qui n’a rien à envier par rapport à Aero de Microsoft Vista et qui fonctionne de manière parfaitement fluide sur mon petit eeePC ! Bref, le bonheur.

Pour parfaire le tout, l’eeePC comporte un chipset Wifi Atheros, et donc compatible avec les drivers madwifi… A nous le mode monitor, airmon-ng et les audits Wifi le PC sous le bras.

Ici, quelques captures d’écran “officielles” de cassage de clefs Wifi avec la BackTrack3 sur un eeePC et avec l’interface Compiz ;) 1 2 3 4 .

2. Plateforme de tests + VMware appliance + ZeroShell

Comme je suis en train de refaire certains aspects de l’infrastucture, j’ai mis en place une belle plateforme de tests…

Ingrédients requis :

  • Un PC avec 3 cartes réseau et VMware Server
  • L’appliance virtuelle de ZeroShell.
  • Un peu de doigté pour configurer les 7 cartes réseau virtuelles ou physiques, les différents VLANs, les trunks etc…

Je ne reviens pas sur l’intérêt de VMware Server ou Workstation, que tout technicien ou expert en sécurité utilise (enfin j’espère !) pour monter ses maquettes, tester ses outils, analyser les malwares, etc…

En revanche, je voulais ici souligner ZeroShell. C’est une mini-distribution Linux disponible notamment au format LiveCD, CompactFlash, ou encore Virtual Appliance VMware, et qui fait un max de choses, tout administrable via interface https. Voici un extrait des caractéristiques de la bestiole :

- Radius Server which is able to provide strong authentication for the Wireless clients by using 802.1x, WPA and WPA2 protocols;

- Captive Portal for network authentication in the HotSpots by using a web browser. The credentials can be verified against a Radius server, a Kerberos 5 KDC (such as Active Directory KDC);

- QoS and traffic shaping management to control the maximum bandwidth, the guaranteed bandwidth and the priority of some types of traffic such as VoIP and P2P;

- VPN host-to-LAN and LAN-to-LAN with the IPSec/L2TP and OpenVPN protocols;

- Routing and Bridging capabilities with VLAN 802.1q support;

- Firewall Packet Filter and Stateful Packet Inspection (SPI);

- Layer 7 filter to block or shape the connections generated by Peer to Peer clients;

- TCP and UDP Virtual Server;

- Multizone DNS server;

- Multi subnet DHCP server;

- PPPoE client for connection to the WAN via ADSL, DSL and cable lines;

- Dynamic DNS client updater for DynDNS;

- NTP (Network Time Protocol) client and server;

- Syslog server for receiving and cataloging the system logs produced by the remote hosts;

- Kerberos 5 authentication;

- LDAP server;

- X509 certification authority.

Pour ceux et celles qui n’ont pas fait d’architecture réseau ou système, sachez juste que ces acronymes représentent en gros tout ce qu’on est en mesure d’avoir pour recréer un beau réseau d’entreprise chez soi… Bref, c’est super, et le tout pour une VM de 80Mo, et 128Mo de RAM seulement (c’est du Linux, rappelons-le !!).

Me voilà donc les mains là-dedans, à faire des trunks 802.1q, de l’authentification Radius/Ldap et du 802.1x en utilisant des certificats X509 et en sniffant le tout avec Wireshark ! Ahh, le jargon des informaticiens n’a rien à envier à celui des juristes !!!

Je vous laisse, j’ai encore du boulot si je veux que ça marche!

Bruno Kerouanton on mars 13th 2008 in IT, IT Security

8 Responses to “Les mains dans le cambouis…”

  1. Cédric Pernet responded on 13 mar 2008 at 14:55 #

    Merci Bruno de partager ces informations avec nous, c’est toujours un plaisir de te lire et de savoir que tu as encore les mains dans le cambouis… Je sais que tu aimes ça et heureusement ;-)

  2. Bruno Kerouanton responded on 13 mar 2008 at 15:17 #

    C’est vrai que j’aime ça… Je trouve que c’est important de garder un pied dans la technique lorsque l’on fait de la sécurité, même en tant que RSSI, pour un certain nombre de raisons… Voici ce qui me pousse à garder cette casquette de “technicien” :

    1. Afin de ne pas faire certaines erreurs qui pourraient arriver si on n’écoutait que les discours marketing. C’est impressionnant de constater le nombre de projets qui existent, et qui se finissent mal parce que le fournisseur a un peu trop exagéré sur la rapidité de mise en oeuvre, sur les fonctionnalités etc…

    2. Afin de bien estimer la charge de travail des équipes. Lorsque j’ai planifié ma petite centaine de projets il y a 2 semanes, j’ai pu estimer la durée de réalisation en jours/homme et en ressources… parce que je sais me mettre à la place de ceux qui vont le faire et donc que je vois le temps nécessaire (enfin presque, ça ne dépend pas que de ça, malheureusement).

    3. Afin de faire ma veille, et de pouvoir comprendre ce que l’on raconte dans les conférences sécurité ;)

    4. Pour pouvoir frimer avec l’interface 3D de mon eeePC sous backTrack3 en train de lancer un exploit sous Metasploit 3.1 !

    5. Parce que j’aime mon métier, et que j’aime cela aussi, oui je l’avoue ;-)

    6. Pour soulager les équipes, qui n’ont pas toujours le temps ou les connaissances pour faire cela… Ici nous sommes une petite structure (si, si !) et on doit faire de notre mieux.

    6. Parce que je ne partage pas en totalité l’avis de Forrester Research sur le portrait type du RSSI ; qui ne doit pas connaître la technique… A mon sens, il vaut mieux en effet un manager qu’un technicien pour faire office de RSSI, mais il ne faut pas pour autant dénigrer la technique… sauf si on a les moyens d’en déléguer le traitement et la compréhension et que l’on a une confiance absolue en les personnes qui en ont la gestion. Rares sont les RSSI, hélas, qui ont une vision exhaustive du niveau de sécurité au sein de leurs structures. Cette vision est souvent parcellaire voire floue car en provenance d’informations de seconde main.

  3. fropert responded on 13 mar 2008 at 15:46 #

    Zeroshell a l’air très intéressant! Il manque quagga pour s’amuser à faire un routeur OSPF/BGP qui tiendrait la route face à vyatta et qui ne rempli pas les champs BGP avec des valeurs négatives ala opengbpd. Il manque aussi un mini asterisk pour convertir du sccp (un vrai protocole de signalisation quoi … ou pas) vers le monde sip largement utilisé sur Internet.
    Le eee semble très intéressant mais je vais tenter de pas succomber et ne pas acheter du “gadget” (dans le sens où il ne peut actuellement remplacer mon PC “de tous les jours”) comme mon n800 qui est … tiens d’ailleurs je sais pas où je l’ai mis ?

    MSproject et Excel sont’il social-makers à la machine à café quand ça plante ? :)

  4. Bruno Kerouanton responded on 14 mar 2008 at 12:43 #

    Argh, je rage car hier soir j’ai fait un long commentaire mais à priori j’ai du oublier de valider (update, je l’ai retrouvé, il est ci-dessus) ! La géniale fonctionnalité de Wordpress qui sauvegarde automatiquement le billet en cours de saisie n’est pas encore disponible pour les commentaires :(

    En synthèse (je ne vais pas tout réécrire, non mais) je disais que si j’ai 2 casquettes (RSSI+technique) contrairement à beaucoup de rssi c’est pour pas mal de raisons…

    - aider mes collègues, car on est une petite équipe (si, si !),
    - dissuader les fournisseurs qui essaieraient de nous embrouiller avec des offres fumeuses,
    - rédiger les standards (comment faire si on ne sait pas de quoi on parle ?) notamment réseau et infrastructure,
    - me tenir au courant et ne pas paraître hébété lors du SSTIC ou en lisant MISC,
    - maîtriser au mieux nos infrastructures,
    - parce que j’aime ca, oui je l’avoue.

    Le Forrester Research dit que les meilleurs RSSI sont ceux qui lâchent la technique. Cela est vrai et faux… A mon avis on peut la lâcher si on est dans une structure qui le permet et qu’on a une équipe de geeks qui assurent, sur laquelle on peut reposer sa totale confiance. Ce n’est pas donné à toutes les structures… Combien de RSSI sont mal informés des risques réels que leur structure encoure, parce qu’ils ne maîtrisent pas tous les aspects techniques de l’infrastructure et se reposent uniquement sur “les contrats fournisseurs et les SLA” associés… J’en connais d’autres qui sont assis sur des tas d’explosifs et qui espèrent que ça ne sautera pas durant leur présence en poste.

    @fropert: Zeroshell me convient parfaitement, le routage OSPF/BGP c’est pour les opérateurs et les backbones, pas pour les réseaux d’entreprises ! Quant à Ms Project, non il n’a pas planté…. c’est juste une horreur d’apprendre à s’en servir tellement il y a d’options ! Quant à l’ergonomie, ca sent le bug à plein nez… même les copier-coller ne fonctionnent pas correctement parfois, et le style des caractères se perd aussi durant l’import d’un document MSproject dans un autre, bref c’est la misère. Mais je n’ai que la version 2003, si ça se trouve c’est corrigé depuis.

  5. Bruno Kerouanton responded on 14 mar 2008 at 12:50 #

    Remoi ;)

    Bon mon premier commentaire était parti en Spam à cause d’Akismet… Bizarre, c’est bien la première fois qu’un commentaire que je poste se retrouve tagué “spam” sur mon propre blog… pourtant je n’y parle ni de viagra ni de trucs louches ;)

    Donc du coup, je publie mes 2 commentaires, ca vous fera de la lecture en double !

  6. fropert responded on 14 mar 2008 at 17:41 #

    “le routage OSPF/BGP c’est pour les opérateurs et les backbones, pas pour les réseaux d’entreprises !”

    Je ne crois pas qu’on puisse être ni blanc ni noir sur cette information :)

    Tout comme il y a des opérateurs qui mettent en place du quagga pour diverses raisons, il y en a d’autres dont j’ai fais parti qui avaient du OSPF et du BGP @ home :)

  7. Bruno Kerouanton responded on 15 mar 2008 at 19:25 #

    … mais c’est quand même peu répandu !

  8. Ghost' responded on 29 avr 2008 at 14:17 #

    Bonjour Bruno, bonjour à tous,

    Celà faisait un bon moment que je n’étais intervenu sur ton blog !

    Point de commentaires sur la technique, vu mon niveau, celà vaut mieux ! Par contre, tu souhaitais un avis sur la question de la publication du document par l’administration du Jura. Celà me laisse relativement perplexe de laisser un document avec autant de précisions à la vue de tous les internautes.

    Je m’explique :

    - Expliquer quels sont les objectifs à atteindre par le SI du canton me semble une excellente idée, histoire de communiquer avec les citoyens, et de leur expliquer quels seront les moyens dont ils disposeront et dont le canton disposera dans l’avenir,

    - Détailler les moyens mis en oeuvre, humains, financiers et techniques, pourquoi pas ? Mais alors que faire de la confidentialité demandée dans le cadre de la sécurité ? Certes, on note une volonté de transparence, mais là, je crois que ce sont littéralement des “portes ouvertes” (je peux toutefois me tromper)

    N’aurait-il été plus judicieux de publier une plaquette mentionnant :

    * les objectifs généraux du SI cantonal, avec les améliorations et les nouveaux services à disposition des citoyens (exemples à la clé d’ailleurs = pédagogie),
    * les moyens, en terme général, qui devront être mis en place, en terme de budget global et de créations de postes dans les services informatiques concernés par les projets,
    * les appels d’offre concernant les projets, sur un site dédié à celà, à l’attention des entreprises prestataires souhaitant contracter (je ne sais pas les administrations suisses fonctionnent comme les administrations et collectivités territoriales et locales françaises ?)

    Et puis une dernière remarque, je pense que la culture suisse est vecteur de transparence en terme de gestion des collectivités, non ? ou je me trompe ?

    Amclt

    Ghost’

Trackback URI | Comments RSS

Laisser un commentaire