wOueb by Romain DECKER / Another IT Guy Blog

Depuis quelques jours on ne parle plus de ça : il est possible de (très) facilement faire tomber des serveurs via une faille du protocole SSL. Très rapidement, et sans rentrer dans les détails, une groupe de hacker allemand (THC) a publié un outil permettant d’exploiter rapidement une faille du protocole SSL connue depuis 2003 (et jamais corrigée). Cette faille tire son origine dans le fait qu’une négociation SSL demande 15 fois plus de puissance au serveur qu’au client.

L’outil publié permet de surcharger les serveurs de son choix en renégociations.

Exemple : ici, un serveur de test non protégé (acceptant la renégociation). Après quelques secondes, la charge du serveur commençait déjà à monter : j’ai volontairement arrêté le test. Que dire d’un hacker avec un nombre important de machines à sa disposition ?

Faille SSL DDos

Exemple : ici, un serveur de test protégé (avec la renégociation désactivée).

Serveur protégé, avec la renégotiation désactivée

Mais comment savoir rapidement (comprendre « sans vérifier la configuration ») si votre serveur est vulnérable ou protégé ?

SSL Labs (Qualys) fournit un outil de test, SSL Server Test : celui-ci décrypte et analyse votre configuration SSL. Il suffit d’indiquer l’adresse du serveur, et d’attendre quelques secondes.

Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL

Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL

Pour un serveur avec la renégociation désactivée, le résultat est assez différent :

Serveur non vulnérable

Le test se situe sur cette page : SSL Server Test.

Note : désactiver la renégociation ne corrige pas la faille, mais permet de restreindre fortement son utilisation.

Dans ma boîte à outil, il y a des applications que j’utilise depuis des années : parmi celles-ci, Total Commander, un gestionnaire de fichiers pour Windows. C’est un « shareware », un partagiciel : vous pouvez payer pour l’acheter (32€), ou l’utiliser gratuitement avec comme seule contrainte une fenêtre au lancement (à faire disparaître par l’appui sur une touche).

Inspiré de Norton Commander (un gestionnaire de fichiers pour MS-DOS), Total Commander est un vrai couteau suisse pour gérer vos fichiers : disponible dans une dizaine de langues, il est léger, rapide et évolutif (via de nombreuses extensions).

L’interface se décompose en deux panneaux : les fonctionnalités sont multiples et permettent une navigation aisée à la souris et/ou au clavier. Personnellement, je l’utilise uniquement au clavier, les touches de raccourcis pour les fonctions me suffisant largement.

Total Commander : le couteau suisse pour la gestion de vos fichiers

Les fonctionnalités sont vraiment nombreuses : on ne peut pas toutes les traiter ici, mais voici un aperçu.

• Version multilingue et UTF (Unicode),
• Fonction de recherches avancées dans l’arborescence et dans les fichiers,
• Comparaison de fichiers (et/ou de répertoires), synchronisation de répertoires,
• Possibilité de travailler sur les archives (ajout de fichiers, etc.),
• Client FTP intégré et gestion de proxy HTTP,
• Outil de renommage multi-fichiers,
• Recherche de doublons,
• Visionneur de fichiers,
• Ligne de commande,
• Éditeur de fichiers,
• Gestion de répertoires distants,
• Gestion du glisser-déplacer vers l’Explorateur/le Bureau. etc.,
• et bien d’autres !

Chez moi, il a totalement remplacer l’explorateur Windows !

Télécharger Total Commander : Total Commander.

Pour transférer des fichiers à un serveur distant, on a plutôt le choix des protocoles : FTP, SFTP, SCP, etc. Aujourd’hui, je vais plutôt m’intéresser au SFTP : il s’agit d’une variante du protocole FTP, qui consiste à « tunneler » (ou encapsuler) la session à travers une connexion SSH.

Il ne faut pas confondre SFTP et FTPS : FTPS, pour FTP over SSL est une méthode complètement différente qui consiste à encrypter le trafic avec une clé de chiffrement.

Et pourquoi s’embêter avec du SFTP d’ailleurs ? En 2008, j’expliquais qu’une connexion FTP envoyait les identifiants en « clair » sur le réseau. Si le sujet vous intéresse, vous pouvez relire l’article : Administrer vos fichiers en SFTP/SCP plutôt qu’en FTP.

On arrive (enfin) au vif du sujet : SFTP Net Drive permet de créer un disque virtuel sur votre PC qui correspond à un répertoire distant accessible par le protocole SFTP.

Au niveau de la configuration, rien de transcendant : un nom de serveur (ou une IP), un port, un utilisateur ou une clé SSH, et la lettre à assigner au lecteur.

Paramêtres de connexion de SFTP Net Drive

Un clic sur « Advanced Settings », et on se retrouve sur la page des paramètres avancées : on peut notamment y spécifier le répertoire de destination (s’il doit être différent de celui de l’utilisateur, choix par défaut), la version du protocole, consulter la liste des clés SSH, etc.

Paramêtres avancés de SFTP Net Drive

Comme vous l’aurez compris, SFTP Net Drive est uniquement compatible Windows.

Un répertoire d'un serveur SFTP monté

Pour le téléchargement, c’est par ici : SFTP Net Drive.

Pour s’authentifier sur un serveur, on utilise essentiellement des couples d’identifiants / mots de passe. Il faut savoir qu’il existe des méthodes d’authentification fortes qui permettent de mieux sécuriser vos accès, notamment l’authentification par clé publique. On génère une paire de clés, composée :

• d’une clé publique (que tout le monde peut connaître),
• d’une clé privée (que vous devez conserver secrète, propre à vous) : cette dernière vous permettra de créer des signatures, qui pourront être vérifiées grâce à la clé publique.

Je vais traiter dans cet article de la création d’une paire de clé (publique et privée) sur Windows, et de la configuration nécessaire pour se connecter à un serveur SSH à l’aide de ces clés.

(suite…)

J’ai déjà abordé à 3 reprises les tests de montée en charge pour des sites ou des applications web :

• via ApacheBench, à travers des commandes en ligne depuis un serveur,
• avec LoadImpact, qui vous permet de tester des montées en charge sur des sites ou applications jusqu’à 50 utilisateurs simultanés gratuitement.

La semaine dernière, j’ai découvert presque caché dans le panier du libre de Nicolargo un nouveau concurrent : Blitz.io, et là….tadaaaa !

Complètement développé en node.js, Blitz.io vous propose des tests de performances, ainsi que des tests de montée en charge pour votre site, application web, ou API RESTful. Blitz.io apporte beaucoup de fraîcheur dans l’écosystème des tests de performances.

Un test de performance simple sur Blitz.io

(suite…)

Vous devez installer Windows 2008 R2 ou Windows 7 sur un serveur / poste qui n’a pas de lecteur DVD et vous n’avez pas de virtual console (iDrac chez Dell, IMM chez IBM, etc.) ? Il ne reste qu’à booter sur une clé USB pour l’installation, mais comment créer cette clé ?

Bien sûr, pour les talibans de la ligne de commande, il est possible d’y arriver en formattant une clé USB (d’au moins 4 Go) avec diskpart, la rendre bootable, puis d’y copier le contenu du DVD d’installation.

Il existe une solution encore plus rapide. Microsoft a (pour une fois) bien fait les choses et propose un petit outil qui s’occupe de tout et qui est très simple d’utilisation : Windows 7 USB/DVD download tool.

La création de la clé USB se déroule en 4 étapes :

• étape 1 : sélection du fichier ISO d’installation de Windows 7 / Windows 2008 R2,
• étape 2 : choix du type de média à créer (USB device),
• étape 3 : sélection de la clé USB,
• étape 4 : création de la clé.

Et voilà !

Il ne reste qu’à modifier les options du BIOS pour changer l’ordre de démarrage et démarrer sur la clé USB…