Tag Archives: sécurité

Bloquer des adresses IP par pays avec IPTABLES

Si vous exposer une de vos machines sur Internet, il faudra la protéger. Si vous ne disposez pas d’infrastructure tel que Online ou OVH chez vous, il faudra utiliser toutes les ruses possibles. Vous aurez le choix d’une solution complète, fiable, simple, comme PFsense, ou alors un Linux de base, et donc de préférence, une Debian / Ubuntu, et bloquer des adresses IP par pays avec iptables… 🙂

Ras le bol de la pollution

Si vous jeter un œil parfois sur les journaux de votre firewall, vous avez du vous apercevoir que ceux-ci sont remplis de tentatives d’intrusions. Pour se débarrasser d’une grande partie de cette pollution, parfois, il suffit simplement de bloquer des adresses IP par pays avec iptables. En effet, les attaques proviennent généralement toujours des mêmes pays (Chine, Russie, Corée, Hong-Kong, etc…).
Pour ce faire, vous pouvez simplement utiliser un module de noyau pour iptables, appelé « xtables-addons ».

Installer le module xtables-addons

Sur Debian / Ubuntu, il est assez facile (comme assez souvent) d’installer ce module grâce à la commande apt-get.

Mettre à jour la base Maxmind

Ensuite, il faudra télécharger la base de données géographique Maxmind. Pour cela, il faudra connaitre l’emplacement de l’outil xt_geoip_dl. En effet, cela dépendra de la version de xtables-addons installée (actuellement, dans les dépôts Debian, la version 2.6 est packagée, alors que la version 2.10 est disponible sur Sourceforge https://sourceforge.net/projects/xtables-addons/files/).

Cela téléchargera donc la base Maxmind :

Il vous reste maintenant à construire les listes avec la commande suivante dans le même répertoire (il faut au préalable créer le répertoire qui les contiendra) :

Bloquer des adresses IP par pays avec iptables

Côté pratique, rien de plus simple, vous pourrez bloquer les IP venant de Chine, de Hong-Kong, de Corée, de Russie ou d’ailleurs :

Ou alors, tout simplement n’autoriser que les adresses IP de votre pays (dans notre cas, sur le port 22) :

Maintenant, il ne vous reste qu’à automatiser la mise à jour de la base de données Maxmind. Dans mon exemple, nous allons créer le script /etc/cront.monthly/0update_maxmind , afin que celui-ci soit exécuté une fois par mois :

N’oublier pas de le rendre exécutable :

Vous voilà prêt à jouer et à bloquer des adresses IP par pays avec iptables.

Références :
http://xtables-addons.sourceforge.net/geoip.php
https://room362.com/post/2016/blocking-countries-via-iptables/
https://www.internetstaff.com/frustrate-ssh-scanners-geoip-iptables-blocking/
https://www.linode.com/stackscripts/view/3807-jeffkyjin-ipp2p+filtering

OwnCloud Eight One pour partager ses fichiers !!!

Vous vous souvenez de OwnCloud, le logiciel pour créer son propre serveur de stockage et de partage de fichiers en ligne. Il est de retour dans sa nouvelle version. OwnCloud Eight One pour partager ses fichiers est la meilleure alternative libre !!!

Avantages

À la différence de Dropbox, Box.com, Google Drive, SkyDrive, iCloud, ou Hubic, d’autres alternatives commerciales, les fichiers que vous enregistrez sont sur une machine dont vous avez le contrôle, soit total si celle-ci est hébergée chez vous, soit partiel si vous avez décidé de l’héberger chez un prestataire type Online ou OVH.
Vous pouvez ainsi stocker des fichiers, les synchroniser avec différents appareils (iOS, Android), les partager, les chiffrer, y accéder via un navigateur sans aucun installation supplémentaire, le tout personnalisé, versionné, et sauvegardé. Que demander de plus?

Plus sécurisé, plus de stabilité, plus performant

Toujours plus haut. Voilà qui pourrait être la devise de OwnCloud. En effet, la version 8.1 qui vient d’être mise en ligne fera plaisir aux administrateurs gérant de nombreux utilisateurs. Outre des améliorations des performances, des changements ont également été apportés du côté du chiffrement des données, et aujourd’hui, ce critère a encore plus d’importance.
Cinq mois seulement après la version 8.0, cette release met ainsi l’accent sur la stabilité et les performances des serveurs possédant de nombreux utilisateurs.

Révolution 2.0

Un véritable révolution en effet : il semblerait que les serveurs ownCloud, sur un matériel identique, pourraient prendre en charge jusqu’à 50% d’utilisateurs en plus comparé à un serveur sous ownCloud 8.0 !!! Les chefs de projets Owncloud vont encore plus loin en précisant que déplacer ou supprimer des fichiers est maintenant jusqu’à quatre fois plus rapide.
Et on ne s’arrête pas là car ils ont aussi modifié le système de chiffrement : Encryption 2.0 est une nouvelle approche du chiffrement qui permettra aux clients de gérer leurs propres clés de chiffrement. On pourra facilement passer d’un chiffrement AES sur 256 bits à un algorithme RSA sur 2048 bits.

Federated Cloud ID

ownCloud met également en avant son Federated Cloud ID,  pour faciliter les partages entre serveurs.
Plus besoin de créer des utilisateurs sur votre serveur si ceux-ci ont déjà un compte ailleurs, ou si ils ont leur propre serveur comme vous. Une véritable intégration!!!

Des idées pour ces vacances?

Oui, plein, car installer Owncloud est toujours aussi simple, il suffit de lire l’article de mon ami Maxime.
Maintenant, un petit disque dur, une Raspberry Pi, des scripts et je dispose de mon serveur de stockage sécurisé chez moi, accessible en Wifi et sur internet, et qui me suis même lorsque je pars en vacances tellement il ne prend pas de place.

Les règles sur les détecteurs de fumée

A partir du 8 mars 2015, tous les logements devront être équipés d’un détecteur de fumée. Une mesure prise à la suite du combat d’une mère de famille qui a perdu sa fille dans un incendie. Mais que savons-nous au juste de ces petits boitiers dont tout le monde parle depuis quelques semaines, et sont-ils vraiment obligatoires?

Que dit la loi?

La loi qui est en vigueur à ce jour, c’est la loi n°2010-238 du 9 mars 2010, qui ordonne que chaque logement d’habitation devra être équipé d’un détecteur de fumée au plus tard le 8 mars 2015. Sont concernés les résidences principales comme secondaires, les immeubles collectifs ou les maisons particulières, utilisés même partiellement, les logements de fonction comme les locations saisonnières.
Cependant, l’Assemblée nationale a accordé un délai supplémentaire d’installation jusqu’au 1er janvier 2016, mais uniquement aux bailleurs d’un parc important de logements. Ils devront cependant avoir signé avant le 8 mars 2015 un contrat d’achat pour au moins 1 détecteur. En effet, selon un amendement de la loi Macron, l’arrivée des détecteurs de fumée pourra attendre le 1er janvier 2016.
Après le point I de l’article 5 de la loi n° 2010-238 du 9 mars 2010 visant à rendre obligatoire l’installation de détecteurs de fumée dans tous les lieux d’habitation, il est en effet inséré un point I bis ainsi rédigé:

I bis. – Les propriétaires ayant signé un contrat d’achat des détecteurs au plus tard au 8 mars 2015 sont réputés satisfaire l’obligation prévue à l’article L. 129-8 du code de la construction et de l’habitation, à la condition que le détecteur de fumée soit installé avant le 1er janvier 2016.

Nos obligations

Si vous êtes propriétaires, que vous occupiez ou pas les lieux, vous devez avoir acheté, ou justifié d’un contrat d’achat d’au moins 1 détecteur de fumée.
Si vous êtes locataire, et si votre propriétaire n’a pas pris les devant, vous devez lui faire la demande.
Ce dernier a le choix : soit il rembourse les frais d’achat et d’installation à son locataire, soit il prend tout à sa charge.
Quant à l’entretien, qu’il s’agisse du locataire ou du propriétaire-occupant, il est de leur responsabilité de veiller à l’entretien du détecteur (vérifier les batteries, et nettoyer les capteurs).

Installer son détecteur

La loi impose au moins l’installation d’un appareil par niveau d’habitation.
Le détecteur doit être posé au plafond, dans le couloir desservant plusieurs pièces ou sur le palier, toujours le plus au milieu possible.
Il faut éviter la cuisine, la proximité avec une cheminée ou un poêle, la salle de bain, et les ateliers/bureaux dans lesquels vous bricolez ou fumez car les émanations de cuisson, les vapeurs d’eau chaude, et la fumée de découpe de bois, fer à souder, etc… perturberaient le détecteur et provoquerait un faut positif.

Quel modèle acheter

Il faut absolument qu’il soit à la norme CE (norme européenne EN 14604) ou NF (292 DAAF pour Détecteur Avertisseur Autonome de Fumée).
Ensuite, c’est un peu comme vous voulez. Un autonomie de 1 à 10 années (selon qu’on utilise des piles salines, alcalines, ou au lithium…), une compatibilité avec votre système domotique actuel, une interconnexion des détecteurs entre eux, leur esthétisme… .
Pour ma part, j’ai choisi le modèle sans fil CHACON CH34131. Ils ne sont pas chers (Merci Domadoo!!!), compatible RFXCOM, à la norme EN14604:2005, et interconnectés (si un appareil détecte de la fumée, il émet une alarme sonore et envoie un signal radio aux autres détecteurs qui se mettent également à sonner).

Quelles différences entre ces 2 normes?

Caractéristiques de la norme EN 14604 :

Le détecteur de fumée doit comporter un indicateur de mise sous tension, pour aisément repérer si l’appareil est en fonctionnement.
Disposition d’indications indélébiles parmi lesquelles : nom et adresse du fabricant, norme de référence, date de fabrication ou numéro de lot, date de remplacement recommandée, type de batterie recommandée et instructions à l’attention de l’utilisateur et marquage CE. Ces informations servent à identifier de façon claire le produit et à vérifier sa conformité.
Le signal d’alarme doit être différent du signal indiquant l’usure des piles.
Ce signal d’alarme doit être d’un niveau sonore d’au moins 85 dB à 3 mètres.
La durée de la pile doit être au minimum d’un an pour ainsi éviter d’avoir à la changer trop fréquemment, ce qui impliquerait un nombre plus élevé d’oubli et donc de non fonctionnement du matériel.
Le détecteur doit être équipé d’un bouton de test permettant de vérifier son bon fonctionnement.

Caractéristiques de la certification NF 292 :

Fonction photoélectrique : diffusion ou transmission de lumière.
Disposition d’un marquage et documentation en français.
Le détecteur doit être livré avec une pile, une fiche informative, une notice d’utilisation et de maintenance claire et explicite.
Simplicité d’installation et ergonomique évitant des mauvaises utilisations.
Efficacité de détection.
Mise à disposition du consommateur d’un service d’assistance téléphonique.
Absence de substances radioactives.
Signal « pile faible » émis durant plusieurs jours.

Quel budget prévoir pour cela

Il faut prévoir approximativement entre 15 et 25 euros. Mais certains ont trouvé la niche, et facturent l’installation et l’entretien pour des sommes faramineuses, alors méfiance. Attention, il n’existe aucun organisme certifié pour cela.

Et du coté des assurance?

Ce n’est pas une obligation de déclarer votre détecteur, mais vous pouvez fournir une attestation à votre assureur. Par exemple, la MAIF n’exigera rien de ses sociétaires.

Et si on ne l’a pas installé?

RIEN, car la loi ne prévoit pas de sanction pour le moment. Du coté des assureurs, c’est pareil car votre compagnie d’assurance ne pourra pas se désengager si vous n’avez pas installé de détecteur. Elle a obligation de prendre en charge les dégâts. Pratique donc totalement frauduleuse si votre assureur veut augmenter votre prime d’assurance parce que vous n’êtes pas équipé.

Pour en savoir un peu plus, un article complet ici.