Plugins Firefox

hazem.nasri | 24 mars 2008

Les plugins aident votre navigateur à réaliser des tâches spécifiques telles que l’affichage de formats graphiques
spéciaux ou la lecture de fichiers multimédias. Les plugins diffèrent donc légèrement des extensions
qui ont elles pour but la modification ou l’ajout de fonctionnalités.
- Web Developer

-  User Agent Switcher

-  Customize Google

-  Google Toolbar

-  Gcache

-  Goldorank

-  Google PageRank Status

-  LinkChecker

-  Live HTTP Header

-  SearchStatus

-  SEO for Firefox

-  SEO Links

-  SeoQuake

-  Wayback

-  KGen

-  Sparky, la barre Alexa

Pour les webmasters :

-  Firebug

-  MeasureIt

-  Dom Inspector

-  BBcode

-  Greasemonkey

-  Shazou

Il y a aussi :

-  Gmail Notifier

-  Google Icon

Commentaires
15 Commentaires »
Catégories
Référencement
Flux rss des commentaires Flux rss des commentaires
Trackback Trackback

Empêcher les attaques par déni de service distribué (DDoS)

hazem.nasri |
Table des matières
1. Introduction
2. Qu’est-ce qu’une attaque par DDoS ?
3. Comment fonctionne-t-elle ?
4. Que vous permet-elle de faire ?
5. Que devrions-nous faire en cas d’attaque ?
5.1. Symptômes de la Victime
5.2. Si vous découvrez que vous êtes attaqué
6. Comment pouvons-nous empêcher ces attaques ou nous en défendre ?
7. Conclusion

1. Introduction

Dans cet article, j’essaierai de décrire ce qu’est une attaque par DDoS (Distributed Denial of Service, déni de service distribué), comment l’empêcher ou la limiter. Nombre des serveurs, dans les centres de traitement de l’information, fonctionnent sous Linux ; je vais par conséquent aborder la prévention et la limitation des d’attaques par DDoS contre les serveurs Linux.

Les attaques par DDoS surviennent en raison d’un manque de prise de conscience, d’applications ou de compétence en matière de sécurité de la part des propriétaires ou des administrateurs de réseaux ou de serveurs. Nous entendons souvent qu’une machine en particulier subit une attaque par DDoS ou que le NOC (Netswork Operation Center, centre d’exploitation du réseau) a déconnecté une machine donnée en raison de son implication dans une attaque par DDoS. Le DDoS est devenu un des problèmes courants de notre monde. Par certains côtés, DDoS est comme une maladie contre laquelle nous n’avons pas de remède efficace, et requiert beaucoup de prudence lorsqu’on y est confronté. Ne le prenez jamais à la légère. Dans cet article, j’essaierai de faire un compte rendu des étapes et des mesures qui nous aideront à défendre nos machines contre une attaque par DDoS — au moins jusqu’à un certain point.

2. Qu’est-ce qu’une attaque par DDoS ?

Pour résumer, le DDoS (Distributed Denial of Service, déni de service distribué) est une version avancée de l’attaque par DoS (Denial of Service, déni de dervice). Tout comme le DoS, le DDoS tente également de bloquer des services importants s’exécutant sur un serveur en inondant de paquets le serveur de destination. La spécialité du DDoS est que les attaques ne proviennent pas d’un seul réseau ou hôte, mais d’un certain nombre d’hôtes ou de réseaux différents qui ont été précédemment compromis.

On peut considérer que le DDoS, comme nombre d’autres stratégies d’attaque, est constitué de trois participants ; nous pouvons y faire référence sous les termes du Maître, de l’Esclave et de la Victime. Le Maître est la source initiale de l’attaque — c’est-à-dire la personne ou la machine responsable. L’Esclave est l’hôte ou le réseau qui a été précédemment compromis par le Maître, et la Victime est le site ou le serveur cible attaqué. Le Maître ordonne à l’Esclave (ou aux Esclaves) de lancer une attaque sur le site ou la machine de la Victime ; puisque l’attaque provient de sources multiples simultanément (notez que le Maître n’est habituellement pas impliqué dans cette phase), elle est qualifiée d’attaque distribuée (ou coordonnée).

3. Comment fonctionne-t-elle ?

Une attaque par DDoS se déroule en deux phases. Dans la première, le propriétaire de l’hôte Maître compromet des machines vulnérables dans différents réseaux à travers le monde et installe des outils de DDoS (c’est-à-dire des programmes qui effectueront l’attaque dés lors qu’ils seront déclenchés) : c’est la phase d’intrusion. Dans la phase suivante, le Maître expédie les informations de déclenchement à ces hôtes compromis, ce qui comprend d’ordinaire l’IP à attaquer (inversement, cette IP pourrait avoir été préprogrammée dans les outils et l’attaque elle-même pourrait être à déclenchement programmé — comme par exemple le DDoS du virus Code Red contre les serveurs de la Maison Blanche : c’est la phase d’attaque.

4. Que vous permet-elle de faire ?

Le succès de la phase d’intrusion repose sur la présence de machines vulnérables sur un réseau arbitraire. Malheureusement, il y a un très grand nombre de propriétaires d’ordinateurs naïfs et d’administrateurs système dont les machines manquent cruellement de protection et, de ce fait, cette phase sera facilement accomplie par l’attaquant dans presque tous les cas.

Voici quelques-uns des facteurs qui rendent des machines Esclaves vulnérables :

  1. Des logiciels ou les applications vulnérables fonctionnant sur une machine ou un réseau ;
  2. Une configuration réseau ouverte ou non protégée ;
  3. Des hôtes configurés sans prise en compte de la sécurité ;
  4. Une absence de surveillance ou d’analyse de données ;
  5. Une absence de conduite de mises à niveau ou d’audit réguliers.

5. Que devrions-nous faire en cas d’attaque ?

Si votre hôte est un des Esclaves lors d’une attaque par DDoS, vous n’en serez probablement jamais conscient — à moins que vous n’examiniez soigneusement vos fichiers journaux et surveilliez une activité indésirable du réseau. Si, par ailleurs, vous êtes la Victime, les conséquences seront spectaculaires et évidents.

5.1. Symptômes de la Victime

  1. Les programmes s’exécutent très lentement.
  2. Les services (par exemple, HTTP) échouent à un taux élevé.
  3. On observe un grand nombre de requêtes de connexion provenant de différents distincts.
  4. L’utilisateur se plaint de l’accès aux sites ralenti (ou aucun accès).
  5. La machine affiche une charge du processeur élevée.

5.2. Si vous découvrez que vous êtes attaqué

Suivez ces étapes :

  • Vérifiez si la charge de votre processeur est élevée et si vous avez un grand nombre de processus HTTP actifs.Vérifiez la charge à l’aide des commandes w ou uptime :
    Blessen@work >w

12:00:36 up 1 day, 20:27, 5 users, load average: 0.70, 0.70, 0.57

    Comptez le nombre de processus HTTP (cela vous pemet de savoir quel est votre compte normal pour comparer) :

    root@blessen root]# ps -aux|grep -i HTTP|wc -l

23
  • Déterminez le réseau attaquant.

Pour un serveur à forte charge, le nombre de connexions peut s’élever à plus de 100 — mais pendant une attaque par DDoS, ce nombre peut encore augmenter. C’est à ce stade que nous devons découvrir, aussi rapidement que possible, quels réseaux lancent ces attaques. Dans une attaque par DDoS, la machine esclave individuelle n’a pas beaucoup d’importance ; c’est le réseau qui importe le plus, puisqu’un attaquant pourrait utiliser n’importe laquelle, voire toutes les machines sur un réseau compromis. En conséquence, l’adresse du réseau est d’une importance cruciale.

L’exécution de la commande suivante affichera les IP dans l’ordre des connexions établies :


bash# netstat -lpn|grep :80|awk '{print $5}'|sort

Pour un hôte moyen, si vous avez plus de 30 connexions provenant d’une seule IP, il est probable que vous êtes « en pleine attaque ». En fonctionnement normal, il y a très rarement une raison pour un grand nombre de requêtes depuis une seule IP. Identifiez ces réseaux pour faire un rapport ultérieur, éventuellement à l’aide de la commande whois.

Si plus de 5 de tels hôtes ou IP se connectent depuis le même réseau, c’est un signe très clair de DDoS.

  • Bloquez le réseau attaquant.

Pour ce faire, utilisez iptables ou apf :


iptables -A INPUT -s -j DROP

Si vous lancez apf, ajoutez simplement ces IP au fichier /etc/apf/deny_hosts.rules . Poursuivez ce processus d’élimination jusqu’à ce que l’attaque sur la machine soit réduite (et, si tout se passe bien, arrêtée tout à fait). À titre de mesure complémentaire, contactez le responsable du centre de traitement ou du NOC de ce réseau pour l’informer que les systèmes sont compromis.

Comme stratégie à long terme, une fois que l’attaque immédiate est terminée (ou, si vous êtes rusé, vous pouvez le faire dés à présent), installez Portsentry (reportez-vous la liste des logiciels à la fin de cet article).

6. Comment pouvons-nous empêcher ces attaques ou nous en défendre ?

Il n’existe aucune solution complète ou parfaite au DDoS. La logique est simple : AUCUN logiciel ou contre-mesure ne peut bloquer les attaques de, par exemple, 100 serveurs à la fois. On ne peut que prendre des mesures préventives, et répondre rapidement et efficacement lorsque l’attaque a lieu.

Comme on le dit souvent, mieux vaut prévenir que guérir — et c’est particulièrement vrai dans le cas du DDoS. Dans l’introduction, j’avais mentionné que le DDoS se produit souvent à cause de logiciels ou d’applications vulnérables fonctionnant sur une machine dans un réseau particulier. Les attaquants utilisent ces trous de sécurité pour compromettre les hôtes et les serveurs, et installer des outils de DDoS tels que trin00.

Pour empêcher ou limiter de futures attaques par DDoS, suivez ces étapes :

  1. Créez et mettez en œuvre une bonne politique de sécurité.
  2. Installez un pare-feu qui filtre à l’entrée et à la sortie de la passerelle (par exemple, APF de http://www.rfxnetworks.com/apf.php).
  3. Employez un outil de détection d’intrusion sur votre passerelle ou votre machine pour vous avertir des balayages de port et des tentatives d’intrusion (par exemple, AIDE de http://freshmeat.net/projects/aide/).

Pour empêcher que votre réseau soit utilisé comme esclave, suivez ces étapes :

  1. Menez des audits réguliers sur chaque hôte du réseau pour trouver les outils de DDoS installés et les applications vulnérables.
  2. Faites appel à des outils comme Rkdet, Rootkit Hunter ou Chkrootkit pour savoir si un rootkit a été installé sur votre système.
  3. Procédez à un audit général de sécurité sur vos systèmes de façon régulière :
    • Maintenez votre système à jour pour minimiser les vulnérabilités des logiciels (mise à niveau du noyau et des applications).
    • Recherchez la présence de rootkits..
    • Contrôlez les fichiers journaux pour rechercher des preuves de reniflages de port, etc.
    • Contrôlez les processus cachés en comparant la sortie de ps et lsof.
    • Employez des outils d’audit (c’est-à-dire Nessus, SAINT ou SARA).
    • Contrôlez les binaires du système avec, par exemple, Tripwire pour voir s’ils ont été changés depuis votre dernier instantané.
    • Recherchez la présence de relais de messagerie électronique ouverts.
    • Recherchez la présence de lignes cron malveillantes.
    • Recherchez dans les répertoires /dev, /tmp, /var la présence de fichiers inhabituels (c’est-à-dire, , des permissions/appartenances incorrectes sur les fichiers de périphériques, etc.).
    • Examinez si les sauvegardes sont maintenues.
    • Recherchez la présence d’utilisateurs ou de groupes indésirables (examinez /etc/passwd).
    • Recherchez et désactivez tout service inutile.
    • Rechercher les fichiers SUID, SGID et nouser dans votre système avec la commande find.
    • Notez les performances du système (mémoire et utilisation du processeur) ; notez les niveaux moyens.
  4. Créez une équipe de DSE (Dedicated Security Expert, expert en sécurité) pour votre entreprise.
  5. Imposez et mettez en œuvre des mesures de sécurité pour tous les hôtes du réseau. Les seuls hôtes qui devraient être autorisés sur votre réseau sont ceux qui contrôlés par votre administrateur en sécurité ou votre DSE. Tous les hôtes présents sur le réseau devraient être contrôlés régulièrement par votre équipe de DSE.
  6. Collectez les données de votre réseau et de votre hôte, et analysez-les pour savoir quels sont les types d’attaques lancés à l’encontre de vos réseaux.
  7. Mettez en œuvre une protection reposant sur Sysctl. Activez les lignes suivantes dans votre /etc/sysctl.conf :
    # Activer la protection contre l'usurpation d'IP, la vérification d'adresse source
net.ipv4.conf.all.rp_filter = 1

# Activer la protection contre les cookies SYN TCP
net.ipv4.tcp_syncookies = 1

    Inversement, vous pourriez ajouter ce code dans votre /etc/rc.local :

    for f in /proc/sys/net/ipv4/{conf/*/rp_filter,tcp_syncookies}
do
echo 1 > $f
done
  8. Installez PortSentry pour bloquer le balayage des hôtes.
  9. Ajoutez Mod_dosevasive à votre installation Apache. C’est un module Apache qui effectue une action evasive dans l’éventualité d’une attaque par DDoS via HTTP ou une attaque en force brute.
  10. Installez le module Mod_security. Puisque souvent le DDoS cible HTTP (port 80), il est judicieux d’avoir un système de filtrage pour Apache ; Mod_security analysera les requêtes avant de les transmettre au serveur web.
  11. Installez un équilibrage de charge pour vos services. Par certains côtés, c’est la défense à commande réseau la plus puissante contre le DDoS.
  12. Créez une prise de conscience des problèmes de sécurité.

7. Conclusion

Les attaques par DDoS peuvent être limitées sur la machine cible et empêchées sur le réseau esclave en mettant en œuvre une sécurité correcte. Je conseille à chaque propriétaire de serveur et de réseau d’appliquer des mesures de sécurité efficaces ; puisque le DDoS est un problème à l’échelle du réseau, sa prévention va nécessiter les efforts de chacun.

Commentaires
15 Commentaires »
Catégories
serveur linux
Flux rss des commentaires Flux rss des commentaires
Trackback Trackback

Installation d’applications sur les clients

hazem.nasri | 18 mars 2008

Problème général des droits d’utilisateurs
L’ utilisateur xp a les droits d’ administrateur sur la station qui vient d’intégrer le domaine, il n’a donc pas de difficulté pour installer des applications localement. Cependant quand un utilisateur non administrateur veut exécuter ces applications, il se peut que cela ne fonctionne pas faute de droits suffisants sur le répertoire où se trouve installée l’application.

Solution
Créer sur chaque stations xp un répertoire apps avec uniquement les droits en lecture pour tout le monde, pour les applications qui le supportent et un répertoire appsnp avec les droits en écriture pour tout le monde pour les autres applications.

Installation d’OpenOffice.org1.1.0

Ouvrir une session en utilisant le compte d’utilisateur xp

Lancer le programme setup à partir de L:\OOov101french/install du serveur. ; installer dans le répertoire c:\appsnp\OpenOffice.org1.1.0

Problèmes des profils d’utilisateurs
Lorsque l’utilisateur xp installe des applications, il se peut des informations soient mémorisées dans son profil et que lui seul soit configuré pour exécuter ces applications (sans parler des raccourcis pour lancer les applications qu’il est souvent le seul à avoir)

Solutions sans les profils itinérants activés
Si le champ logon path du fichier ./etc/samba/smb.conf n’est pas renseigné, les profils NT/W2K/XP ne remonteront pas sur le serveur et seront uniquement locaux. L’avantage est qu’ils n’occupent pas de place sur le serveur et n’engendrent pas de trafic réseau au moment des ouvertures et des fermetures de session

Ouvrir une session en administrateur local de la station xp et copier le profil de l’utilisateur xp (sous c:\Documents and Settings) dans celui de l’utilisateur par défaut) ; ainsi tout nouvel utilisateur se verra appliquer ce profil mais attention, il faudra effacer les profils des utilisateurs existant déjà (sauf xp naturellement)

Solutions avec les profils itinérants activés
Si le champ logon path du fichier ./etc/samba/smb.conf utilise un répertoire fixe sur le serveur, les profils NT/W2K/XP utilisés stockés dans ce répertoire du serveur. Par défaut, ils sont propres à chaque utilisateur et stockés dans le répertoire profiles\Os\nom de l’utilisateur.

On peut obliger tous les utilisateurs à utiliser le profil de l’utilisateur xp.Pour cela, il suffit de mettre le répertoire profiles\Win2k\xp dans le champ profil path du fichier /etc/samba/smb.conf.
On peut même éviter que les profiles itinérants ne soient recopier définitivement en local en créant sous la clé HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon l’entrée de valeur de type REG_DWORD nommée DeleteRoamingCache et lui affectant la valeur 1

Installation de l’antivirus OfficeScan de Trend Micro

Se placer sur la station de l’administrateur et ouvrir une session en root sur le domaine. L’antivirus sera installé sur le serveur Linux mais l’administration se fera à partir de cette station

On suppose qu’un lecteur réseau K : est connecté sur le partage appsnp
Exécuter le programme osce354cf (si vous avez installer le CD SambaParis, vous le trouverez dans le dossier /root/outilsroot/TrendMicro/Stations de travail/En Réseau) et installer le serveur Officescan dans un répertoire K:\offiscan (8 lettres maximum)

Attribuer les droits de lecture/écriture sur les sous répertoires Database, Log et Virus du répertoire PCCSRV et lecture sur les autres OfficeScan est installé en mode file-based par opposition au mode web-based qui n’est supporté que sur un serveur IIS

A partir du groupe de programme Trend Officescan Corporate Edition-LINUX, lancer la console de management OfficeScan ; aucune station n’apparaît tant que le client n’est pas installé

Déploiement du client
Ajouter la ligne k:\offiscan\pccsrv\autopcc.exe (autopccp.exe pour les stations W95/W98/Me) dans le fichier /home/netlogon/logon.bat afin que office scan soit installé puis mis à jour à chaque ouverture de session sur le domaine

Mise à jour de l’antivirus
La mise à jour doit se faire manuellement à partir de la console de management, update

Commentaires
15 Commentaires »
Catégories
serveur linux
Flux rss des commentaires Flux rss des commentaires
Trackback Trackback

Référencement

hazem.nasri | 10 mars 2008

Nous effectuons le référencement de votre site internet suivant une charte bien précise, nous n’utilisons pas de technique pouvant mettre en danger le référencement de votre site par le futur et être “blacklisté”, pas de cloaking, pas de page satelite etc… .

Le référencement est trop souvent perçu comme une étape obligatoire, à laquelle on souscrit au moment de la conception du site par la mise en place de quelques mots “clef” sensés rappeler votre raison sociale, votre activité ou prestations et votre zone géographique Dérisoire et simpliste vision de ce qui revête le caractère d’une véritable procédure d’optimisation de votre site afin d’en assurer la consultation et la large diffusion sur le Net.

Dixi assure le développement du référencement pour les sites qu’elle diffuse, non pas comme simple prestation “obligatoire” mais en en faisant un véritable outil de promotion et de gestion de votre activité sur le Net.

Référencement quelles voies pour quel résultats ?

Les mots-clef ou metas : sont ceux qui définissent, situent le mieux votre activité, votre entreprise, votre localisation…

ils se trouvent dans :

- le code de votre site (metas et descriptif)
- les pages elles-mêmes

Deux phases sont essentielles pour un référencement optimal :

- la définition d’une liste de mots-clefs pertinents
- l’utilisation de ces mots clefs dans le contenu rédactionnel de votre site

Dans l’approche de ces deux phases, Dixi s’appuie sur une démarche éprouvée qui en fait aujourd’hui une des références du positionnement de sites sur Internet

- Dialoguer pour connaître vos activités professionnelles et vos objectifs
- Définir le vocabulaire, les termes liés à votre activité par l’écoute
- Mettre en oeuvre les outils nécessaires pour retenir les mots clefs les plus pertinents et définir les orientations du rédactionnel
- Produire un rédactionnel associant mise en valeur et promotion de votre activité, par une utilisation pertinente des mots clefs, dans un style personnalisé.

Commentaires
12 Commentaires »
Catégories
Référencement
Flux rss des commentaires Flux rss des commentaires
Trackback Trackback

Activer le compte root :: Ubuntu

hazem.nasri | 1 mars 2008

Une opération fortement déconseillée !
Par défaut, sous Ubuntu, le compte utilisateur root est désactivé. La logique du système est d’utiliser sudo pour effectuer toutes les tâches administratives. Il est totalement déconseillé d’activer et d’utiliser le compte root sous Ubuntu ; le présent document n’est rédigé qu’à titre informatif.

Avant que vous n’effectuiez votre choix, prenez quelques secondes pour prendre connaissance des nombreux bénéfices apportés par sudo et son utilisation dans Ubuntu. Rappelons aussi que sudo n’est pas moins sécurisé que l’utilisation d’un compte root.

Si vous désirez tout de même activer le compte root, le document présent vous y aidera. Il n’est ici qu’à titre informatif.
Obtenir un terminal root

Si sudo est pratique pour exécuter une ou deux commandes avec les droits d’administration (ce qui sera généralement le cas), il peut être agaçant pour effectuer une série de tâches administratives. Si vous avez besoin de taper plusieurs commandes réservés à root à la suite, il est inutile d’activer le compte root ; lancez simplement un terminal et exécutez la commande suivante :

identifiant@machine:~$ sudo -i
Password: (entrez le mot de passe du compte “identifiant”)

Maintenant vous serez alors root à l’intérieur de ce terminal pour une durée indéterminée. Pour reprendre votre identité, entrez :

root@machine:~# exit

Comment utiliser le vrai compte root ? Je préfère ça à sudo

Pour activer le compte root, exécutez la commande :

$ sudo passwd root

Le mot de passe du compte courant est demandé une première fois, pour autoriser l’utilisateur à effectuer des tâches administratives. Puis, une invite vous demande le mot de passe désiré pour le compte root. Il vous est demandé de le saisir une seconde fois, pour valider le tout.

Pour prendre l’identité de root, dans un terminal, exécutez la commande :

$ su

Entrez le mot de passe choisi.
sudo / gksu / kdesu continue de me demander le mot de passe de l’utilisateur courant…

Vous pouvez configurer sudo de façon à ce que le mot de passe du compte root soit demandé plutot que le mot de passe de l’utilisateur courant. Pour ce faire, lancez visudo :

# visudo

Recherchez la ligne débutant par Defaults ; en bout de ligne, ajoutez rootpw. Cette ligne ressemblera donc à celle-ci:

Defaults !lecture,tty_tickets,!fqdn,rootpw

Pour vous amuser, vous pouvez également rajouter l’option ‘insults’ dans cette même ligne pour être harangué (en anglais) si vous tapez un mauvais mot de passe :

Defaults !lecture,tty_tickets,!fqdn,rootpw,insults

Sauvegardez vos modifications et quittez l’éditeur de texte.
Comment désactiver le compte root ?

Si vous aviez configuré sudo de façon à ce qu’il demande votre mot de passe root, effectuez la manipulation inverse ! Autrement, sudo sera complètement bloqué.

Si vous aviez précédemment activé le compte root et désirez retrouver l’utilisation de sudo sur votre machine, exécutez la commande :

$ sudo passwd -l root

Commentaires
13 Commentaires »
Catégories
serveur linux
Flux rss des commentaires Flux rss des commentaires
Trackback Trackback