Ports TCP :

• 445 –> SMB
• 389 –> Ldap
• 88 –> Kerberos
• 750 –> Kerberos

Ports UDP :

• 88 –> Kerberos
• 750 –> Kerberos
• 389 –> Ldap
• 53 –> DNS
• 137 –> netbios

Attention, Il faut éviter au maximum d’ouvrir ces ports sur des DMZ accessible d’Internet!

Bref, mon problème est que j’ai l’impression que quelqu’un l’a installé chez lui sur un poste infecté car la boite à laquelle il se connecte spam énormément et risque de nous blacklister.

En visualisant les logs de mon reverse proxy Vulture,  j’ai remarqué que les UserAgents utilisés par ce logiciel sont  "ComAgentWCIM" et “WCInterface”.

Avec Vulture, nous avons la possibilité d’utiliser le mod_security sur les applications de notre choix. Cela va me permettre d’ajouter une règle permettant de bloquer les UserAgents qui me concernent.

Règles utilisées :

Voici les règles que j’ai mis en place pour mon webmail :

SecRule REQUEST_HEADERS:User-Agent ".*ComAgent.*" "t:none,msg:’ComAgent Identifie’"
SecRule REQUEST_HEADERS:User-Agent ".*WCInterface.*" "t:none,msg:’WCInterface identifie’"

Explication :

SecRule : Déclare une règle de sécurité

REQUEST_HEADERS:User-Agent : Filtrer le User-agent du client web

".*ComAgent.*" : Le User-Agent contiendra ComAgent

“t:none” : Indique que toutes les translations ne effectuées avant cette règle ne seront pas appliquées. Une translation permet de remplacer une chaine par une autre par exemple.

“msg:” : Inscrit un message personnalisé dans les logs

Après avoir appliqué cette règle à l’application, il ne faut pas oublier de redémarrer l’interface de Vulture qui a été touchée.

J’en ai profité pour remanier un peu mon code pour qu’il soit plus exploitable par tous. J’espère que ça servira à quelqu’un.

Attention :

J’ai transformé le script permettant la supervision de la synchronisation du shell en perl. Donc, à présent, il faut mettre dans le fichier /etc/sudoers la ligne :

nagios   ALL = NOPASSWD: /usr/bin/perl /usr/lib/nagios/plugins/check_synchro_vulture.pl

Au lieu de :

nagios   ALL = NOPASSWD: /bin/sh /usr/local/nagios/libexec/check_synchro_vulture.sh

Modifier également la commande utilisé par Nagios.

La supervision des sites Web hébergés a également changée. La commande s’exécute de cette manière :

./check_vulture.pl -H 192.168.0.1

Il vous faudra modifier les constantes dans la plupart des scripts.

Vous pouvez télécharger la dernière version ici

Mot de passe de l’archive : http://www.croc-informatique.fr

Euh ba oui Bien sûr, il faut le connaître!

Voici la commande :

openssl rsa -in cle-privee.key -out cle-privee_sansPassPhrase.key

C’est une commande pas compliqué mais très pratique!

Installer le repository rpmforge :

wget http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS//rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm

rpm -Uvh rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm

Ceci est valable pour la version 64bit de Centos. Pour les autres versions :

http://dag.wieers.com/rpm/FAQ.php#B

Installer clamd :

# yum install clamd

Démarrer clamd :

service clamd start

Lancer clamd au démarrage :

chkconfig clamd on

Configurer clamAv pour récupérer les mises à jour derrière un proxy :

Editez le fichier /etc/fresclam.conf

# vi /etc/freshclam.conf

 

Configurer les paramètres proxy :

# Proxy settings
# Default: disabled
HTTPProxyServer proxy.croc-informatique.fr
HTTPProxyPort 8080
#HTTPProxyUsername myusername
#HTTPProxyPassword mypass

Forcer la mise à jour :

# freshclam

Mettre à jour clam toutes les heures :

dans la crontab :

0 * * * * sleep $[ $RANDOM % 1800 ] ; /usr/local/bin/freshclam –quiet

0 * * * * : permet de lancer la commande toutes les heures

sleep $[ $RANDOM % 1800 ] : Mettre à jour de manière aléatoire pour ne pas saturer la bande passante.

-quiet : Lancer freshclam en mode silencieux.

Pré-requis :

• OpenLdap installé et configuré
• Openssl doit être installé

Génération du certificat serveur :

Créer l’arborescence qui contiendra les certificats que nous allons générer :

mkdir –p /etc/ssl /etc/ssl/openldap

cd /etc/ssl/openldap

Générer le certificat :

openssl req -x509 -new -config openssl-ldap.cnf -out ldap_cert.pem -keyout ldap_key.pem -days 730 –nodes

Vous devez répondre aux questions. Celles-ci permettent à l’utilisateurs de connaître la provenance du certificat.

Deux fichiers vont être générés : ldap_cert.pem et ldap_key.pem

Mettez leurs les droits 440 propriétaire root groupe ldap

Configuration d’OpenLdap

Editez le fichier /etc/openldap/slapd.conf et ajoutez :

TLSCertificateFile /etc/ssl/openldap/ldap_cert.pem
TLSCertificateKeyFile /etc/ssl/openldap/ldap_key.pem

Ces lignes permettent de spécifier l’emplacement du certificat et de sa clé au serveur OpenLdap.

Editez le fichier /etc/openldap/ldap.conf Pour qu’il ressemble à cela :

URI     ldaps://192.168.0.1:636
TLS_CACERTDIR /etc/ssl/openldap/

Le serveur ldap écoutera sur le port 636 au redémarrage du service ldap.

Vous pouvez tenter une connexion avec JXplorer :

yum install openldap-servers openldap-clients

Configuration :

Nous allons configurer notre serveur LDAP pour qu’il ait comme suffixe le domaine croc-informatique.fr . Le compte administrateur sera : admin / password

Editez le fichier /etc/openldap/slapd.conf

Modifier le comme suit :

suffix "dc=croc-informatique,dc=fr" rootdn "cn=admin,dc=croc-informatique,dc=fr" rootpw password

Crypter le mot de passe :

slappasswd -s password

Vous aller avoir un retour de ce type : {SSHA}GyzpAiLauGXRvNAHdoKhJAp8FqalHzdu

Il vous suffi de le copier et de le coller dans le fichier /etc/openldap/slapd.conf à la place du mot de passe en clair.

Lancer le service ldap :

service ldap start

Création du fichier ldif de base : Ce fichier va nous permettre de demander au serveur LDAP de créé la base de l’arborescence. Créez un fichier base.ldif et ajoutez :

dn: dc=croc-informatique,dc=fr dc: croc-informatique objectClass: domain

Importez le fichier base.ldif :

ldapadd -x -D "cn=admin,dc=croc-informatique,dc=fr" -w password -f ~/base.ldif

Maintenant, vous pouvez créer votre arborescence comme vous le souhaitez. Par exemple, nous allons créer une OU (unitée organisationnelle). Cette OU, nous allons la nommée “Contact” et nous allons ajouter quelques contacts. Pour cela, nous allons créer un nouveau fichier que nous allons nommé contact.ldif. Placez ce texte à l’intérieur :

dn: ou=Contact,dc=croc-informatique,dc=fr
ou: Contact
objectClass: organizationalUnit

dn: uid=user1,ou=Contact,dc=croc-informatique,dc=fr
uid: user1
cn: user1
displayName: User 1
givenName: User
sn: user1
objectClass: inetOrgPerson
userPassword: password
mail: user1@croc-informatique.fr

Puis lancer la commande :

ldapadd -x -D "cn=admin,dc=croc-informatique,dc=fr" -w password -f ~/contact.ldif

Voilà l’OU Contact et l’utilisateur user1 avec le mot de passe password ont été créés

Explorer son serveur Ldap avec JXplorer :

Cet outil est téléchargeable sur son site officiel : http://jxplorer.org/

Voici la procédure permettant de faire la mise à jour :

Installer les outils de développement si ce n’est pas déjà fait :

yum install gcc

yum install openssl-devel

yum install pam-devel

yum install rpm-build

Télécharger openssh 5.2p1

wget ftp://mirror.planetunix.net/pub/OpenBSD/OpenSSH/portable/openssh-5.2p1.tar.gz

Génération des fichiers RPM

Maintenant, nous allons créé le RPM à partir du fichier tar.gz :

tar xvfz openssh-5.2p1.tar.gz

cp ./openssh-5.2p1/contrib/redhat/openssh.spec /usr/src/redhat/SPECS/

cp  ./openssh-5.2p1.tar.gz /usr/src/redhat/SOURCES/

cd /usr/src/redhat/SPECS/

perl -i.bak -pe 's/^(%define no_(gnome|x11)_askpass)\s+0$/$1 1/' openssh.spec

rpmbuild -bb openssh.spec

Liste des fichiers rpm générés :

cd /usr/src/redhat/RPMS/`uname -i` ls -l       
total 988 

-rw-r--r-- 1 root root 272540 nov  2 15:55 openssh-5.2p1-1.i386.rpm          
-rw-r--r-- 1 root root 431980 nov  2 15:55 openssh-clients-5.2p1-1.i386.rpm         
-rw-r--r-- 1 root root  16712 nov  2 15:55 openssh-debuginfo-5.2p1-1.i386.rpm         
-rw-r--r-- 1 root root 269432 nov  2 15:55 openssh-server-5.2p1-1.i386.rpm

Mettre à jour open-ssh :

rpm -Uvh openssh*rpm

Preparing... ################################

1: openssh ####

2: openssh-clients ####

3: openssh-server ####

Redémarrer SSH

service sshd restart

Vérification :

# rpm -qa | grep openssh
openssh-5.2p1-1
openssh-server-5.2p1-1
openssh-debuginfo-5.2p1-1
openssh-clients-5.2p1-1

Sur un système LINUX, le routage est désactivé par défaut même si la machine comporte plusieurs cartes réseaux. Il faut activer ce routage pour utiliser un passerelle en LINUX. Pour cela, il suffit de modifier le fichier /etc/sysctl.conf. Modifier la ligne net.ipv4.ip_forward comme ceci :

net.ipv4.ip_forward = 1

Une fois le fichier corrigé, activer le changement avec la commande :

sysctl -p

Vérifiez que le routage est actif en consultant la valeur donnée à la fonction routage.

[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
1

Ici, on obtient la valeur 1, donc le routage est actif. Si vous obtenez 0, vous n’avez pas encore activé le routage.

Règles iptables :

iptables -t nat -A PREROUTING -d ip_du_serveur_iptables -p tcp –dport Numero_port_entrée -j DNAT –to-dest ip_distant:port_distant
iptables -t nat -A POSTROUTING -d ip_distant -p tcp –dport 25 -j SNAT –to ip_du_serveur_iptables

Exemple :

Si on souhaite mapper le port 30 sur le port 25 du serveur 81.0.0.1, voici les règles iptables à appliquer :

iptables -t nat -A PREROUTING -d 192.168.0.1-p tcp –dport 30 -j DNAT –to-dest 81.0.0.1:25
iptables -t nat -A POSTROUTING -d 81.0.0.1 -p tcp –dport 110 -j SNAT –to 192.168.0.1

Pour sauvegarder les règles, tapez la commande :

iptables-save > /etc/sysconfig/iptables

Problème rencontré :

Je n’ai pas réussi à rediriger un port avec le nom de domaine du serveur distant. Apparemment, c’est impossible… Si quelqu’un a une idée?

• Editez le fichier C:\Program Files\Trend Micro\OfficeScan\PCCSRV\ofscan.ini :

Remplacez:

master_pwd=

Par :

master_pwd=70

• Sauvegardez
• Editez C:\Program Files\Trend Micro\OfficeScan\PCCSRV\ofcserver.ini

ou si il n’existe pas : C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Private\ofcserver.ini

Remplacer :

master_Pwd=!CRYPT!523EE4…..

par :

master_pwd=70

• Sauvegardez
• Redémarrez le service OfficeScan Master Service
• Se connecter à la console avec le mot de passe “1” sans les “”.
• Mettre un mot de passe sécurisé.