Sécurité

Suricata 1.1beta2 has brought OpenBSD to the list of supported operating system. I’m a total newbie to OpenBSD so excuse me for the lack of respect of OpenBSD standards and usages in this documentation. Here’s the different step, I’ve used to finalize the port starting from a fresh install of OpenBSD. If you want to use source taken from git, you will need to install building tools: pkg_add git libtool automake and autoconf need to be installed to. For a OpenBSD 4.8, one can run: ...

The IDS/IPS suricata has a native support for Netfilter queue. This brings IPS functionnalities to users running Suricata on Linux. Suricata 1.1beta2 introduces a lot of new features related to the NFQ mode. New stream inline mode One of the main improvement of Suricata IPS mode is related with the new stream engine dedicated to inline. Victor Julien has a great blog post about it. Multiqueue support Suricata can now be started on multiple queue by using a comma separated list of queue identifier on the command line. The following syntax: ...

Following my preceding post on suricata multithread performance I’ve decided to continue to work on the subject. By using perf-tool, I found out that when the number of detect threads was increasing, more and more time was used in a spin lock. One of the possible explanation is that the default running mode for pcap file (RunModeFilePcapAuto) is not optimal. The only decode thread take some time to treat the packets and he is not fast enough to send data to the multiple detect threads. This is triggering a lot of wait and a CPU usage increase. Following a discussion with Victor Julien, I decide to give a try to an alternate run mode for working on pcap file, RunModeFilePcapAutoFp. ...

Suricata is a next generation IDS/IPS engine developed by the Open Information Security Foundation. This article describes the installation, setup and usage of Suricata with CUDA support on a Ubuntu 10.04 64bit. For 32 bit users, simply remove 64 occurances where you find them. Preparation You need to download both Developper driver and Cuda driver from nvidia website. I really mean both because Ubuntu nvidia drivers are not working with CUDA. I’ve first downloaded and installed CUDA toolkit for Ubuntu 9.04. It was straightforward: ...

La découverte récente d’une méthode permettant d’exploiter des failles dans la plupart des implémentations DNS àfait beaucoup de bruits. J’en tiens pour preuve des articles dans ZDNET (Colmatage d’une faille de grande envergure sur les serveurs DNS), Le Monde et les échos. Si l’on étudie ce qu’écrit le CERT dans l’article Multiple DNS implementations vulnerable to cache poisoning, une méthode de contournement de la faille consiste àrendre aléatoire le port source utilisé pour les requêtes DNS. ...

J’ai présenté Ulogd2 et nf3d lors de la rump session du SSTIC 2008. Après une brève introduction sur l’architecture de ulogd2, j’ai montré le résultat de mon travail sur la visualisation des connexions et des paquets loggués, nf3d. Les slides sont disponibles. Je me rend compte que je n’ai pas encore parlé de nf3d ici. Il s’agit d’un logiciel représentant sur une vue 3D les connexions Netfilter et les paquets loggués. Comme une image vaut mieux qu’un long discours : ...

Après des années de développements acharnés, l’interface ultime de gestion du suivi de connexions de Netfilter est enfin disponible : Wolfotrack, c’est son nom, est une interface de gestion du suivi de connexions basé sur wolfeinstein 3D. Chaque soldat réprésente une connexion et pour tuer une connexion, il suffit de tuer le soldat correspondant.

Je vais donner une conférence sur NuFW et les interactions entre espace utilisateur et noyau dans Netfilter lors des rencontres mondiales du logiciel libre 2008 àMont-de-Marsans. Dans ce cadre, Christophe Brocas m’a gentillement interviewé par mail. L’interview est en ligne sur le site des RMLLs : Interview Éric Leblond. À noter qu’une interview de l’excellent Pablo Neira est elle aussi disponible sur le site.

J’ai reçu ce spam qui semblait àpremière vue avoir complètement passé indemne mes logiciels anti-spams. Le sujet notamment n’était pas taggué *SPAM*. Enfin, je ne voyais pas qu’il était taggué : Received: by d10.nt.com (Postfix, from userid 0) id D73C21E4490; Thu, 24 Apr 2008 23:03:13 +0200 (CEST) To: XXXXXXXX@XXX.fr Subject: Invitation XXXXXXXX 2008 Date: Thu, 24 Apr 2008 23:03:13 +0200 From: SPAMMER noreply@mailing.spam.com Message-ID: 67190e93d75ec77aea41896d6c6d6f89@localhost.localdomain X-Priority: 3 X-Mailer: EmailingSoft Powered [version 1.73] MIME-Version: 1.0 Content-Type: text/html; charset=”iso-8859-1″ Content-Transfer-Encoding: quoted-printable X-Spam-Score: 7.7 (+++++++) Subject: *SPAM* Invitation XXXXXXXXX 2008 ...

Jusqu’ici la gestion de pare-feu c’était difficille, il fallait gratter gratter : À partir de lundi, ça sera facile et amusant : Plus d’informations àvenir très bientôt ! Les abonnés de la liste Netfilter seront les premiers avertis 😉

Presque tout est dans le titre : NuFW.live 1.0.2 est le CD fourni avec le magazine Sonderheft Linux-Magazin 02/08 dont le titre est “Security – Sicher im Netz” : Ce magazine est un trimestriel sur Linux qui me fait regretter mon faible niveau en allemand. Ce numéro sur la sécurité semble en effet contenir des articles très intéressants que je suis quasiment incapable de déchiffrer. Un grand merci àla rédaction du magazine pour avoir choisi de distribuer le CD NuFW.Live dans ce numéro. ...

Bon, Cisco avait annoncé qu’il ne sortirait des alertes de sécurités que deux fois par an. Sauf si une alerte était suffisamment sévère ou critique pour justifier une modification d’agenda. Il n’aura pas fallu longtemps : Une prise de contrôle est réalisable sur le composant NAC de Cisco. La faille est prodigieuse, la clé partagé était récupérable dans les flux d’erreurs. Mais rassurons nous Cisco has released free software updates that address this vulnerability. ...

Une fois n’est pas coutume, deux mots de la conférence sécurité Cansecwest où deux de mes acolytes d’INL se sont rendus pour faire une conférence. Ils en ont profité pour faire une lightning talk sur NuFW : A priori, ils en ont aussi profité pour se désaltérer :

La companie Cisco, leader des équipements réseau, a le sens de l’humour mais a aussi un problème de calendrier. Elle a en effet annoncé qu’àpartir du 26 mars, les correctifs de sécurité sur IOS ne seront publiés que deux fois par an, les 4eme mercredi du mois de mars et de septembre. À mon avis, ils devaient vouloir sortir l’annonce le premier avril pour faire une blague àleurs utilisateurs. J’imagine en effet Renault annoncer : ...

Après des années de travail (et de documentation) sur NuFW, il restait tout de même difficile de tester le projet. Il existe maintenant une façon simple de le faire grâce au Live CD NuFW.Live. Basé sur knoppix, ce CD développé par INL, contient NuFW et l’ensemble des briques associés. Un tutoriel simple permet de tester et de valider le fonctionnement de NuFW. Au final cela donne un NuFW qui marche en quelques clics et qui plus est avec les dernières interfaces web : ...

Soucieuse du confort de ses abonnés, wanadoo est beaucoup moins préoccupé par leur sécurité. J’en tiens pour preuve leur politique d’authentification sur wanadoo.fr. Si une requête provient de l’adresse IP de l’ADSL de monsieur Dupont c’est forcément monsieur Dupont qui est àl’origine de la requête. On ne passe pas àMadame Dupont qui pourrait très bien elle-aussi vouloir consulter ses mails sur le webmail de wanadoo.fr. Hé oui, j’en sens certains médusés, l’authentification est totale et va au moins jusqu’au webmail. ...