Accueil 2020 octobre

Archives mensuelles : octobre 2020

Envoyer des syslog en Powershell

Posté le de Aucun commentaire ↓
Envoyer des syslog en Powershell

Salut à tous, aujourd’hui je vais m’arrêter sur un bout de script dont j’ai eu besoin il y a quelques mois de cela pour envoyer des syslog en Powershell et que chaque machines où je faisait exécuter un script envoie directement ses résultats à à un serveur syslog. Et puis tant qu’on y était avec Grégoire, on a fait le récepteur syslog au passage histoire de pouvoir tester ça en local sans se faire trop mal à monter un vrai serveur syslog.

Syslog ?

Pour rappel Syslog est un protocole réseau qui permet d’envoyer des logs. Bien connu et largement utilisé, il permet de déporter les logs entre l’équipement et la machine qui les stocke, voire les traite (qui a dit Splunk?). Il y a 2 RFC qui cadrent la norme la RFC 3164 et la RFC 5424. En grande majorité, syslog passe sur UDP, le problème c’est que ça ne garantie pas la bonne arrivée de 100% des logs sur vos collecteurs syslog. Mais on commence à trouver de plus en plus de TCP dans l’utilisation de Syslog.

Chiffrement ? Signature ?

Une petite digression pour votre culture, même si en TCP on garantie la bonne réception … Lire la suite

Extraire les N premières lignes d’un fichier en PowerShell

Posté le de Aucun commentaire ↓
Extraire les N premières lignes d'un fichier en PowerShell

Salut à tous, aujourd’hui je vous propose une rapide commande PowerShell pour extraire les N premières lignes d’un fichier en PowerShell et dont j’ai eu besoin pour intégrer quelques logs dans un Splunk aujourd’hui.

Le fichier de log pour une journée faisait 5Go, c’était un peu gros pour tester l’intégration. J’ai voulu piquer uniquement les 5000 premières lignes mais sans passer par un Linux (avec Head par exemple) ou dans un éditeur de texte comme notepad.

La bonne nouvelle c’est que, comme d’habitude, ça se fait très bien en PowerShell :

Get-Content "grosfichier.csv" | select -First 5000 | Out-File "first-5000-grosfichier.csv"

Et voilà ! c’est tout pour aujourd’hui, mais comme ça vous saurez faire la prochaine fois que vous aurez besoin de d’extraire les N premières lignes d’un fichier en PowerShell ! @+… Lire la suite

Exemple de schéma d’infrastructure : nouveau serveur !

Posté le de Aucun commentaire ↓
Exemple de schéma d'infrastructure

Salut à tous, geekeries.org et systemsec.fr grossissent doucement, et j’ai finalement été obligé d’upgrader le serveur ! Je me suis dit que c’était une belle occasion de vous donner un exemple de schéma d’infrastructure (à mon goût) qui fonctionne bien de mon expérience.

Long story short : Le précédent serveur était au taquet sur la RAM et le CPU en semaine. Ça explique les coupures de connexions au(x) site(s) que vous avez pu rencontrer depuis quelques temps (désolé pour le désagrément). Du coup, j’ai fais ma migration ce weekend (qui a débordé sur le début de semaine)…d’où les indisponibilité du site que vous avez pu avoir. C’était pour la bonne cause !

Il faut dire qu’il commence à y avoir du monde qui passe sur le serveur. Vous ne voyez que la partie émergée de l’iceberg avec geekeries.org et systemsec. Mais en fait il y a quand même du monde qui tourne derrière : FTP, outil de phishing , Nextcloud, Guacamole, Watchtower, Splunk, Torrents, Fail2ban, Backup, Redis, Docker, Firewall, IPS, etc.

D’ailleurs pour la partie Docker qui est très présente dans le schéma, je vous recommande ma série d’article sur le sujet :

Lire la suite

Outils de sensibilisation au phishing

Posté le de Aucun commentaire ↓
Outils de sensibilisation au phishing

Bonjour à tous, aujourd’hui je voulais vous parler de quelques outils de sensibilisation au phishing pour gérer vos campagnes en interne (ou en prestation chez des clients).

Le Phishing ?

Pour les nuls, le phishing ou spear-phishing (quand on ajoute un peu de social-engineering ou d’OSINT pour faire des campagnes bien ciblées) est une technique d’attaque « populaire » (euphémisme). Notamment pour franchir les barrières périmétriques des systèmes d’information.

En effet, un des rares éléments encore entrant aujourd’hui dans les SI (i.e. qui passe d’Internet jusqu’aux postes de travail) reste le mail. Il s’agit donc d’une entrée de choix pour les attaquants qui veulent prendre pied dans un SI. De plus, il y a un aspect statistiques à avoir en tête : même avec un très faible taux de succès (disons 0,01%) si vous envoyez une campagnes de 200 000 mails, vous aurez quand même compromis 20 machines (et le taux peut être beaucoup, beaucoup plus élevé si vous réfléchissez un peu à vos mails).

Pourquoi sensibiliser vos utilisateurs sur le sujet Phishing ?

Contrairement au failles « purement technique » qui doivent être gérées par des admins (normalement un peu compétent et conscient des risques à ne … Lire la suite