SPF Checker en PowerShell

Posté le de Aucun commentaire ↓

Coucou les gens, on se fait un quicky aujourd’hui ? je vous partage vite fait un SPF Checker en PowerShell pour contrôler vos configurations SPF. Je m’explique, j’ai un psychopathe des mails dans mon équipe, il terrorise tout le monde en usurpant les domaines qui ont mal configuré leur SPF. Du coup, ca me semble utile de vous former un peu la dessus, parce que je ce que vous en dehors de chez nous m’inquiète un peu pour être honnête.

SPF ?

Alors quand on parle sécurisation des mails, Il y’a 3 protocoles qu’il faut connaître :

On va les détailler « vue macro » ci-après, pour que vous compreniez les grands principe de chaque.

SPF

C’est le plus ancien et le plus simple à comprendre. Avec SPF, vous listez simplement dans un enregistrement DNS les serveurs SMTP autorisé à envoyer des mails pour votre nom de domaine. Par exemple, si vous regardez pour geekeries.org, vous verrez que j’autorise « mx.ovh.com » à envoyer des mails à ma place, parce que j’ai la grosse flemme de configurer un serveur SMTP moi même.

SPF Checker en PowerShell

Vous noterez le « -all … Lire la suite

Comparaison des services VPN

Posté le de 2 commentaires ↓

Hello le monde, ça vous dit qu’on se fasse un article typé « grand public » (pour une fois) et qu’on fasse une comparaison des services VPN ? Je veux dire, on voit des pubs passer partout à la TV sur YouTube vous vantant les mérites de ces services. Ca ne me parait pas con qu’on prenne 30s pour se pencher sur le sujet, non ? Sur la genèse de ce post, pour le boulot j’ai eu besoin de souscrire à un service VPN pour mon équipe (en autres, pour pouvoir tester « à la demande » nos alertes de voyage impossible. Et comme mon RSSI est un bon pro : il m’a poussé pour justifier l’usage d’un service plutôt qu’un autre.

Je me suis dis que ça vaudrait le coup de vous en parler, car au final mes recherches se sont fait inonder de pub avec zéro factuels derrière, et sans que je trouve rapidement une rapide synthèse des éléments que je voulais voir, donc go : on va se le faire ici, et à ma sauce.

Un VPN pour quoi faire ?

Bah ouais, la pub c’est bien, mais ça sert à quoi un VPN ? Et … Lire la suite

DNS sécurisé associatif – DNS zero

Posté le de Aucun commentaire ↓

Hello à tous, je continue de tenter de tenir le rythme avec des « petits articles » rapide, faute d’avoir plus de temps à consacrer au blog. Aujourd’hui je voulais vous partager un petit projet de DNS sécurisé associatif nommé « ZERO ». DNS Zero, plus exactement, est une association française fondée par Romain Cointepas et Olivier Poitrey.

L’intérêt d’un DNS sécurisé associatif ? Pas de filtrage DNS par votre FAI (revoilà vos sites de torrents préférés accessibles), et la possibilité de bloquer les publicités directement sur le DNS, bon complément à Adblock ou uBlock, utilse avec les smartphone qui neutralise les bloqueur de pub. Mais surtout des vrais fonctions de sécurité qu’on utilise en entreprise, du genre le blocage :

  • des domaines enregistrés il y a moins de 30 jours ou qui on été inactif pendant longtemps;
  • des noms générés par des algorithmes de génération de domaine;
  • des homographes et autres typosquatting;

Et j’en passe, bref c’est plutôt cool. Ils ont même un DNS pour les marmot : KIDS, si vos mômes commencent à utiliser un PC/smartphone, qui filtre les domaines avec du contenu « adulte ». Bref c’est plutôt chouette et en plus c’est gratuit, du … Lire la suite

Post Repeated payload size in PowerShell

Posté le de Aucun commentaire ↓

Hello le monde ! et si on reprenait un peu le rythme avec un bout de PowerShell, non ? Cette semaine je vous partage quelques lignes de code qui m’ont permis de valider une règle de détection au taf. En effet quand un malware, virus, botnet ou un autre membre de cette grande famille s’installe sur un PC, une des première action qu’il va faire est de contacter son serveur de contrôle commande (C&C) ou à minima poster sur un site les infos qu’il a collecté. Et il arrive fréquemment qu’il fasse cette action de manière répétée, en envoyant toujours les même données.

Au niveau de la supervision, ça se détecte super bien dans les logs réseau (Proxy, Firewall ou IDS/IPS par exemple). Vous avez un flux répété à intervalles régulier qui fait toujours la même taille à l’octet prêt. Il faudra quant même « allow-listé » les quelques logiciel connus dans votre SI qui peuvent avoir ce comportement légitimement. Après ce qui reste ça vaut le coup de creuser un peu, vous avez une chance non-négligeable de chopper des vieux virus oublié sur votre parc qui n’arrivent plus à contacter leur C2 par exemple.

Bref, le script est en … Lire la suite