Installer Splunk Free sur Debian 9

Splunk Logo

Salut à tous, ce post est le premier d’une séries d’articles autour de Splunk dans le cadre de la supervision de Geekeries.org. On y parlera sécurité, monitoring ou encore log management. L’objectif est de vous montrer ce qu’il est possible de faire de vos logs juste avec la version gratuite de l’outil. Et pour ceux qui se posent la question : non, ce n’est pas sponsorisé, et je suis absolument libre de vous dire ce que je veux du soft. Splunk est simplement en train de devenir un outil de plus en plus important de nos jours en sécurité et en informatique en général (même s’il a des alternatives). Ça vaut donc la peine de se faire quelques tutoriels sur ce dernier, ne serait que pour vous donner une idée de ses capacités. Aujourd’hui on va simplement voir comment installer Splunk Free sur Debian 9.

Splunk c’est quoi ?

C’est logiciel de recherche, suivi et d’analyse de données machines il permet la collecte, l’indexation et la corrélation de données en temps réel dans des archives « recherchables », permettant de générer des graphiques, des rapports, des alertes, des tableaux de bord et des infographies. Wikipédia et le site de Lire la suite

Tor hidden service : site web accessible en DNS onion

site web accessible en DNS onion

Bonjour à tous, aujourd’hui je vous explique comment on fait pour rendre un site web accessible en DNS onion sur le réseau TOR. C’est assez simple à réaliser techniquement parlant, et ça ne sert pas à grand-chose si votre site est par ailleurs accessible depuis Internet normalement. Mais bon « because we can » après tout…

Hidden (& Dangerous) Service

Donc je suppose que vous avez déjà un site web configuré qui sert en HTTP et éventuellement HTTPS sur une machine accessible avec une IP publique. Voici la procédure pour rendre accessible un site web accessible en tant qu’hidden service TOR.

Commencer par installer Tor sur votre serveur.

# apt-get install tor

Vous devez ensuite indiquer dans le fichier de configuration du Tor qu’il doit annoncer un hidden service.

# vim /etc/tor/torrc

Puis dé-commenter et configurer les lignes suivantes :

#HiddenServiceDir /var/lib/tor/geekeries_org/
##HiddenServicePort 80 127.0.0.1:80
##HiddenServicePort 443 127.0.0.1:443

Le nom de votre hidden service Tor se trouve dans le fichier /var/lib/tor/geekeries_org/hostname. Redémarrer le service tor et ce dernier devrait être accessible immédiatement depuis un navigateur TOR correctement configuré.

Hidden Service Name à la carte

Il est possible de personnaliser un nom de service en « .onion » avec … Lire la suite

Configuration avancée du firewall iptables

Bonjour à tous, aujourd’hui on va se pencher sur le firewall iptables (voir netfilter aussi). Comment le mettre à jour, mettre en place quelques règles simples et puis enfin mettre en oeuvre une configuration avancée du firewall iptables.

Iptables c’est quoi ?

Iptables est un firewall pour les distributions linux. Wikipédia et d’autres articles expliquent ça bien mieux que moi, du coup  je ne vais pas m’attarder là dessus. Mais pour faire simple, un pare-feu système est un logiciel qui vient contrôler les flux réseaux connectés avec votre machine. Conceptuellement, le firewall va recevoir les flux réseaux, avant la socket. Il va alors appliquer différentes règles sur ce dernier, en fonction des résultats des tests par rapport à ces règles, un firewall laissera passer la connexion vers la socket ou rejettera le flux.

Les firewalls sont indispensables de nos jours en sécurité informatique, il s’agit souvent de la 1ère ligne de défense d’une machine connectée sur internet et dans le cas de réseau d’entreprise, un des éléments vraiment efficace pour limiter les rebonds d’un attaquant dans votre réseau.

Bref, les firewalls c’est bon mangez-en…

Mettre à jour Iptables en 1.6.1

Alors sur une debian 8, c’est la version … Lire la suite

USB Phoning Home : la clé USB qui vole les données

Attaques par clés USB

Salut à tous, bon cela fait un moment que je suis sur ce sujet. Aujourd’hui on va travailler avec l’USBArmory pour créer une clé USB qui vole les données que l’on place dessus à un serveur externe. Bref, une clé USB qui vole vos données. Ce TP illustre bien qu’il est risqué de connecter des clés USB non contrôlées sur un SI d’entreprise, a fortiori, si celui ci est sensible… Ça devrait vous donner des idées sur comment on peut pourrir un SI en piégeant du matériel et contourner une bonne partie des mécanismes de sécurité du réseau au passage.

Il n’existe pas de périphériques “inoffensifs”, et c’est d’autant plus d’actualités avec les Raspberry Pi et les PC USB.

Dans ce TP je vais vous montrer comment implémenter l’USB Devices Phoning home proposé par Willnix en 2016 (papier que je vous recommande le lire avant d’attaquer ce TP). Cette technique est un peu surclassée depuis par le PoisonTap mais elle reste intéressante à réaliser comme TP hardware piégé.

USB Phoning Home : la clé USB qui vole les données que l'on place dessus

Principe

Le principe est celui d’une “attaque hardware” ou un méchant laisse traîner une clé USB(Armory) sur le parking ou bien distribue des clé USB vérolées lors d’une conférence ou … Lire la suite