VPN, Turris Omnia et sécurité …

Après quelques avertissements pendant que je télécharge mes séries sur Internet, j’ai décidé de mettre en place une solution me permettant de profiter de Sheldon et Leonard sans risquer d’amende où autre désagrément.

J’ai pris un abonnement à FastestVPN, ça fait le job même si c’est pas démentiel. L’avantage est que l’accès à vie était à 39$ au moment où j’ai souscrit.

Maintenant, il reste à configurer ça sur le Turris. Bien entendu, le firmware du Turris supporte déjà transmission-daemon et openvpn en tant que client ou serveur.

Mais je suis partisan de laisser le routeur router. Donc j’ai installé un container LXC dessus, hébergé sur un disque dur de 1To raccordé en USB au routeur.

Une fois le container déployé, je lui donne une adresse IP fixe sur mon réseau, et j’installe les paquets nécessaires :

apt install transmission transmission-daemon openvpn wget tcpdump nfs-common ssh iptables iptables-persistent dnsutils inetutils-ping

(comme vous pouvez le constater, le template LXC pour Debian est un peu léger en outils préinstallés, ce qui me convient très bien)

Le paquet nfs-common est là pour gérer un éventuel montage NFS si vous souhaitez stocker les fichiers téléchargés en dehors du container. Ici, je ne m’en sers pas.

Les paquets iptables et iptables-persistent sont là pour une bonne raison : une connexion VPN PEUT tomber et vous exposer.

Aussi, les quelques règles suivantes permettent de s’assurer que SEUL le trafic vers le VPN est autorisé à sortir de votre réseau :

iptables -A INPUT -i eth0 -s 192.168.10.0/24 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT iptables -A OUTPUT -o eth0 -p udp –destination-port 4443 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.10.0/24 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -j DROP
iptables -A OUTPUT -o tun0 -j ACCEPT

Deux choses concernant ce script :

L’adresse IP de mon container Debian est dans le sous réseau 192.168.10.0/24

Le port udp/4443 est celui FastestVPN mais là encore, tout dépend de votre fournisseur

Une fois que vous aurez exécuté ces quelques commandes, TESTEZ ! gardez vous un accès console sur la machine, ces règles fonctionnent pour moi mais je ne garantis pas que ça fonctionnera pour vous.

Tapez ensuite la commande iptables-save pour sauvegarder les règles et les rendre persistantes au redémarrage.


Le vélotaf et surtout le vélo

En préambule, je vais commencer par vous dire que si vous cherchez des arguments pour convaincre de passer au vélotaf, vous êtes sur le mauvais article. Il y’en a pléthores, plus ou moins bien rédigés, et plus ou moins vrai.

Je vais juste expliquer pourquoi j’y suis passé, et comment. Les gains sont personnels, je ne les développerai pas.

Pourquoi

J’aime le vélo. Tout simplement. J’adore rouler, le nez au vent, quelque soit les conditions météorologiques. La pollution présente en ville ne m’arrête pas, elle ne me gène pas et ne gâche aucunement mon plaisir.

Je roule par les plus petites rues que je trouve, je découvre des chemins, je discute avec les autres personnes roulant comme moi en vélo. C’est humain, c’est vivant. En 10 ans de pratique régulière, je ne me suis jamais fait renverser (même si je suis tombé quelques fois à cause d’une voiture qui faisait n’importe quoi devant moi), même si j’ai déjà eu droit à quelques insultes de la part de conducteurs. Globalement, ça reste très, très rare.

Comment

Simplement : j’ai utilisé mon vélo pour aller travailler. Au départ, j’ai utilisé mon VTT (quand je faisais moins de 5km pour aller travailler), puis j’ai investi dans des vélos plus spécifiques et plus adaptés à la pratique du vélotaf.

Et tu n’arrives pas en sueur au boulot

Pas quand je roule moins de 10 km. C’est comme ça pour moi. Après, en sueur ou non, l’entreprise où je travaille nous met à disposition des vestiaires pour nous changer, ainsi que des douches. Donc je prends une douche quand j’arrive au travail, surtout en été ! Je n’aurais pas de douche à disposition, je prendrais quand même des lingettes pour me débarbouiller avant de m’habiller pour aller bosser.

Je ne travaille pas dans les vêtements dans lesquels j’ai roulé, que ce soit en été ou en hiver.

Et les conditions météos te gênent pas ?

Non. Ce n’est qu’une question d’équipement. Effectivement, je porte des lunettes donc la pluie peut me casser les pieds, mais j’ai un casque avec visière, ce qui fait que la pluie s’évacue sur les côtés quand il pleut. Donc je garde mes lunettes et une bonne vision.

J’ai une veste étanche, coupe vent uniquement pour l’été, softshell trois couches pour l’hiver. N’oubliez pas que je me change en arrivant (entièrement).

Et le froid ?

Je suis asthmatique donc le froid me gène. J’ai deux moyens :

1/ le premier est de couper le trajet en deux, je prends le tram sur la moitié et le froid gène moins.

2/ le second est d’utiliser de très bons gants, une très bonne veste avec un souspull en laine mérinos et un très bon pantalon de randonnée/ski qui m’isole parfaitement. Le casque protège la tête (je mets quand même un bonnet en windstopper en dessous) et les guêtres intégrées au pantalon protègent les pieds.

Bien sûr, j’utilise aussi un tour de cou en polaire pour protéger … le cou, et il me sert aussi à protéger partiellement le visage.

Et les autres ?

Je m’en contrefous. Je fais ça pour moi, et le regard que les autres peuvent porter (la voiture est un symbole de richesse et de statut social ? Je m’en branle). Il n’y a même aucune volonté écologique là dedans, même si pour rigoler je dis que je compense carbone les déplacements que je fais en voiture.

On voit que tu n’as pas besoin de mettre un costume pour aller bosser !

Justement, si. Il m’arrive de mettre un costume quand je suis au boulot. Cela ne m’empêche pas de prendre le vélo. J’ai un sac messager spécifique pour mettre un costume. Et des sacoches étanches pour trimbaler mon PC portable professionnel et les documents papier dont je peux avoir besoin.

Bien sûr, cela demande un investissement financier. La seule sacoche étanche qui se transforme en sac à dos m’a coûté le prix d’un vélo en GMS. Mais je vais m’en servir presque tous les jours pendant au moins 10 ans.

Les voitures ne te gênent pas ?

Non, ça serait même plutôt l’inverse d’ailleurs. Je roule sur la chaussée, en laissant un bon espace entre moi et le trottoir. Ainsi, la voiture, quand elle veut me dépasser, le fait franchement sans me frôler. C’est rare qu’une voiture joue de l’accélérateur derrière moi, me frôle ou bien que je me fasse insulter. Cela arrivait à un moment donné (les frôlements ou l’intimidation), mais dorénavant, je ne subis plus ce genre de désagréments.

Bien sûr, il m’est arrivé de faire frôler. Systématiquement, cela me fait hurler. Plus d’une fois, en rattrapant la voiture au feu suivant, je me fais insulter « mais pourquoi vous gueulez comme ça ? » « Ben vous m’avez frôlé » « Nan, j’ai respecté la distance » …

Alors que j’aurais pu toucher sa vitre avec la main.

Ma réponse est adapté à la personne au volant :

« ce n’est pas parce que vous avez réussi à faire croire à votre femme que ça (montrer 5cm entre vos doigts) ça fait 25 cm que c’est forcément vrai »

« ce n’est pas parce que votre mari vous a fait croire que ça (montrer 5cm entre vos doigts) ça fait 25 cm que c’est forcément vrai »

Ca désamorce systématiquement la situation.

Je n’ai jamais dégradé une voiture. JA-MAIS. Je n’ai pas envie de me mettre dans la position de l’agresseur, alors que c’est moi qui en subit une.

Depuis 1 an, j’emprunte d’autres routes qui sont beaucoup moins passantes, avec beaucoup moins de voiture. Ceci rend mon trajet bien plus agréable, et moins dangereux. Cependant, quand je dois emprunter des routes passantes, je me met quasiment au milieu de la voie, afin que les voitures … me voient. Beaucoup de conducteurs confondent voir et regarder.

Je porte pourtant des vêtements réfléchissants, et j’ai de l’éclairage puissant sur mon vélo. J’ai même des pneus avec des bandes réfléchissantes histoire d’améliorer encore ma visibilité.

Donc, quand je roule, je pars d’un principe : la personne au volant NE M’A PAS VU.

Oui, je laisse des voitures me griller la priorité. Mais je préfère ça au fait de voir « Il n’était pas en tort » en épitaphe sur ma pierre tombale …

 

Urbackup

Environnements hétégorènes, bonjour.

Ayant abandonné Apple depuis maintenant un an, j’ai cherché un moyen simple de sauvegarder mes 3 PC sous Window (d’abord), puis Linux (ensuite)

Client Windows :

Le client Windows, dès l’installation, sauvegarde par défaut tous les disques durs locaux. Il utilise aussi les mécanismes de snapshots VSS, ce qui permet de garantir la cohérence des sauvegardes.

Il fonctionne très bien dès son installation, sans intervention manuelle de l’utilisateur. Un énorme point positif !

Client Linux :

Là, c’est nettement moins rose.

Urbackup supporte l’utilisation de snapshots LVM, à condition que le système soit installé comme tel. Cependant, il faut garder un peu (5 à 7%) de place libre dans le VG (c’est à dire, de l’espace pas alloué aux LV) pour que le snapshot puisse grossir sans problème. Ce qui impose de redimensionner le LV pour faire de la place ! Et ça, ça ne peut pas se faire à chaud, il faut rebooter sur un LiveDVD …

Une fois qu’on a installé le client urbackup, il faut le paramétrer afin de lui dire quel(s) répertoires il doit sauvegarder. Par défaut, il ne sauvegarde rien ! C’est un peu idiot, la configuration par défaut devrait inclure à minima /home.

Enfin bref.

Démarrer un joli terminal et entrez la commande

sudo urbackupclientctl add-backupdir <lerepertoire>

Sauf que … Dans cette configuration, le client va essayer de suivre les symlinks et … selon l’environnement de bureau que vous utilisez, il se peut que vous ayez des symlink vers /run … Et là, urbackup va essayer de faire un snaphot de /run, et échouer lamentablement.

Un peu très très stupide.

la bonne commande est donc :

sudo urbackupclientctl add-backupdir <lerepertoire> -f

Plus de soucis ensuite. Les sauvegardes tournent sans incidents.

Cas particulier : réinstallation d’un PC sous Linux

Quand on a l’idée saugrenue de réinstaller sous Linux un ordinateur sous Windows qui était déjà sauvegardé via URbackup, le client ne saura pas faire la sauvegarde SI ON A PAS SUPPRIME LE CLIENT AVANT !

Si on est c*n et qu’on oublie de le faire, le client Linux va récupérer la configuration du client Windows et la garder. Il faut donc supprimer les répertoires dans la configuration du client, et ajouter les bons.

ESXi : créer une image ISO customisée pour un BRIX Gigabyte

VMWare propose gratuitement son hyperviseur, à installer sur du matériel.

OK, c’est cool.

Téléchargez la version 6.0 de l’hyperviseur et démarrez le sur n’importe quel ordinateur standard et il y’a de fortes chances que vous ne puissiez pas installer VMWare.

L’installateur vous enverra bouler avec un magnifique message disant qu’il ne détecte aucune carte réseau.

Il y’a de fortes chances que votre ordinateur soit doté d’une carte réseau Realtek.

VMWare ne dispose pas (plus ?) des drivers natifs pour ce type de carte réseau. Aussi, il faut intégrer les pilotes nécessaires directement sur l’image ISO.

Coup de bol, VMWare propose gratuitement les outils pour ce faire. C’est cool non ?

Ingrédients

Un PC sous Windows 7 ou 2008R2

VMware PowerCLI 5.8

Un script powershell préparé avec amour par votre serviteur

Un CD vierge, une clé USB ou un disque dur qui émule un CD/DVD à partir d’une image ISO, tel qu’un Zalman VE400 (ce dont je dispose personnellement)

Préparation

Installez PowerCLI (attention, auparavant si vous ne l’avez pas encore fait, lancer la commande Set-ExecutionPolicy Unrestricted dans PowerShell sinon PowerCli ne fonctionnera pas.

Le script powershell est le suivant :

$baseprofile= »ESXi-6.0.0-20151104001-standard »
$customprofile= »ESXi-6.0.0-20151104001-BRIX »
Add-EsxSoftwareDepot https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
Add-EsxSoftwareDepot http://vibsdepot.v-front.de

write-host « done adding software depots »

New-EsxImageProfile -CloneProfile $baseprofile -name $customprofile -Vendor « oupsman.fr » -AcceptanceLevel « CommunitySupported »

write-host « OK, the custom Image profile is created, now populating it »

Add-EsxSoftwarePackage -ImageProfile $customprofile -SoftwarePackage « net55-r8168 »
Add-EsxSoftwarePackage -ImageProfile $customprofile -SoftwarePackage « sata-xahci »
Add-EsxSoftwarePackage -ImageProfile $customprofile -SoftwarePackage « esx-ui »

write-host « That’s right, I’ve finished, now creating the iso »

Export-ESXImageProfile -ImageProfile $customprofile -ExportToISO -filepath 0_ESXi_v6.iso

write-host « Iso created »

Créez un fichier create_esxi_custom.ps1 et copiez le contenu dedans.

Exécutez le script, et vous récupérez un fichier 0_ESXiv6.iso qui contiendra tous les drivers que vous avez ajoutés. Démarrez dessus et vous verrez les interfaces réseaux.

Turris Omnia

Ayant déménagé il y’a maintenant presque un an, je me retrouve avec un abonnement ASDL à 2Mb/s via une livebox play. Quand on a deux ados à la maison, c’est peu. Trop peu.

Propriétaire d’un routeur Asus RTAC68U, et titulaire d’un abonnement Free 100Go en 4G, j’ai essayé de les paramétrer ensemble. Peine perdue. L’interface de management ne voit pas le routeur Huawei que j’utilise, et en utilisant un téléphone Android (ce qui est censé être compatible), le lien ne monte pas.

J’ai donc monté une usine à gaz à base de Raspberry pi 3, mais ce n’était guère stable et surtout très peu pratique à administrer. Par ailleurs, ce n’était pas très souple : tout passait par l’abonnement 4G, et avec un ado friand de Youtube, ce n’était pas une idée géniale.

J’ai donc cherché une meilleure solution, et suite à une série de toots visible sur Mastodon, j’ai découvert le routeur Turris Omnia.

Le but de cet article n’est pas de faire une présentation dans le détail du routeur, je vous encourage à visiter le blog (excellent) de Stephane Bortzmeyer, qui l’a fait bien mieux que moi.

Je vais juste m’attacher à détailler mon installation, pourquoi et comment j’en suis arrivé là.

Commande passée sur Amazon, j’en profite pour acheter aussi un SSD mSata de 120Go, le routeur permettant de base de gérer des containers LXC. Cela permet d’ajouter des services supplémentaires sur le routeur sans pour autant impacter le système de base, qui continue à faire ce pourquoi il est prévu à la base : router et filtrer le trafic. J’y reviendrai.

Premier point, quand on reçoit le routeur et qu’on veut installer le SSD : le port mSata est déjà occupé par la carte Wifi 2,4 Ghz. Il faut donc retirer la carte et l’installer sur le port libre, et installer le SSD. Cela nécessite de démonter entièrement la carte mère, afin de démonter les entretoises et les remonter correctement.

une fois cela fait, on démarre le routeur et on le paramètre. On est sur du routeur OpenWrt classique, l’interface Luci est accessible sans problèmes. Sinon, le SSH et vi fonctionnent très, très bien 🙂

L’intérêt de ce genre de routeurs, c’est qu’il est possible d’utiliser d’autres modems que celui fourni par l’opérateur. Par contre, on perd une bonne partie du support, et je pense qu’il faut garder le modem/routeur opérateur pour tester en cas de dysfonctionnement. Ainsi, en plus du Turris Omnia, j’ai investi dans un modem DLink DSL-320B, qui, étant un vrai modem, permet de faire gérer l’adresse IP de mon abonnement Orange/sosh directement par le Turris Omnia. L’ado voulant accéder à ses serveurs Minecraft depuis chez sa mère, cela m’évite le cauchemar de la mise en place d’un double NAT, vu que je chaine deux routeurs.

Le paramétrage dans le Turris est simple, du moins quand on sait à peu près comment marche un routeur. Le paramétrage du DLink est très simple, l’assistant de configuration étant facile à suivre. Par contre, on est bien sur un modem … Donc il ne faut SURTOUT PAS oublier de paramétrer les logins et mot de passe de la connexion Orange dans le Turris. Ce n’est PAS comme une freebox ou, même en mode bridge, celle-ci envoi directement l’accès Internet au premier qui fait une requête DHCP sur un des ports réseaux … j’ai perdu 30 minutes dans l’histoire, ça aurait pu être pire.

Routage avancé

Ensuite, on paramètre l’accès 4G Free sur ce routeur. Utilisateur un Huawei E5272 (donc un routeur WIfi 4G avec un port USB), il faut installer aussi un petit module supplémentaire (kmod-usb-net-huawei-cdc-ncm) sur le routeur afin que celui-ci puisse reconnaitre le Huawei.

On envoi la route par défaut sur la 4G Free, ça permet de profiter du débit 4G (une bête case à cocher dans l’interface Luci). MAIS, les ados voulant toujours regarder Youtube, on souhaite pouvoir faire passer ces flux par l’accès ADSL. Cela nécessite un petit script :

#!/bin/bash
set -x
CURRENTROUTE=/tmp/currentroute
FUTUREROUTE=/mnt/log/futureroute
Orange_gateway=$( ifconfig -a pppoe-wan | grep inet | awk '{print $2}' | awk -F ':' '{print $2}')

# Generate the routes from google's DNS

dig @8.8.8.8 TXT _netblocks{,2,3}.google.com | tr ' ' '\n' | grep '^ip4:' | sed 's/ip4://'| sort > ${FUTUREROUTE}

diff ${CURRENTROUTE} ${FUTUREROUTE}

DIFFERENT=$?

if [ ${DIFFERENT} -gt 0 ]; then

# Flush the old routes

for route in $(cat ${CURRENTROUTE}) ; do
 ip route del ${route} via ${Orange_gateway}
 done

# Add the current ones

for route in $(cat ${FUTUREROUTE}) ; do
 ip route add ${route} via ${Orange_gateway}
 done

fi

mv ${FUTUREROUTE} ${CURRENTROUTE}

# Source routing to force a particuliar IP address to use the Orange ISP

ip rule add from 192.168.10.7/255.255.255.255 table 200
ip route add default via ${Orange_gateway} dev pppoe-wan table 200
ip route flush cache

 

Comme vous le notez, ce script est loin d’être parfait. Mais pour l’instant, il suffit à mon utilisation. Il est découpé en deux parties : le routage via Orange de Google (routage par destination) et le routage de certaines IP via Orange (routage par source).

une fois que le script est enregistré dans un chemin où il ne sera pas perdu (je l’ai mis sur le SSD pour ma part), on ajoute son lancement dans le fichier /etc/rc.local, afin de s’assurer qu’il est bien lancé à chaque reboot.

Containers

Déjà, un container, c’est quoi ? C’est un moyen d’isoler une application ou un système. Ce n’est pas réellement de la virtualisation au sens Vmware, Hyper-V, Xen ou que sais-je encore.

Le système « containarisé » tourne à côté de l’OS de son hôte, il est simplement cloisonné. C’est un jail Freebsd quoi.

Afin d’éviter de changer les fichiers de configuration de Turria (j’ai moyennement confiance dans leur processus de mise à jour qui me ferait sauter les changements), j’ai simplement créé un lien symbolique vers /mnt/lxc, qui contiendra tous mes containers.

L’interface de gestion de containers est bien faite, déployer un nouveau container n’est pas très compliqué.

Ensuite, le container s’administre comme un système tout à fait standard. Il faut bien penser à lui donner une adresse IP fixe si on ne veut pas galérer. Si vous avez un serveur DHCP sur votre réseau (Le turris, ou autre), le container prendra une adresse IP variable au démarrage, à vous ensuite de vous y connecter par SSH pour fixer sa configuration réseau.

Conclusion (temporaire)

En conclusion temporaire, le Turris Omnia est un très bon routeur, bien fini et rempli de fonctionnalités. Ceci dit, son firmware ne le met pas à la portée de n’importe qui, il est possible de faire énormément de choses avec mais il faut maitriser SSH et vi (ou nano, je ne suis pas sectaire). Et même pour les admins Unix/Linux chevronnés, il y’a quand même quelques spécificités, le répertoire /etc/config n’étant pas le moyen habituel de configurer une distribution Linux, quel qu’elle soit. L’avantage de l’Omnia est qu’il est basé sur de l’OpenWrt, distribution spécialisée qui dispose d’une énorme quantité de documentation. Il est donc aisé de faire à peu près tout ce qu’on veut sur le routeur.

Linux sur desktop, vraiment sécurisé ?

En fait, tout est parti d’un tweet trollesque d’un consultant spécialisé en Googlerie.

Je me pose réellement la question de la sécurité d’une distribution Linux utilisé par un utilisateur Lambda.

Pour être très clair :

Je ne parle pas d’une distribution Linux utilisée sur un serveur. Je parle ici d’une distribution utilisée sur un desktop. Pour moi cela est tout à fait différent car les vecteurs d’attaque ne sont pas les mêmes.

Hormis cas très particuliers, il y’a peu de services à l’écoute sur un système de bureau, contrairement à un système serveur.

L’attaque d’un serveur vient des services hébergés sur ledit serveur. Les vecteurs d’attaques sont donc ces services et l’OS sous jacent.

L’attaque d’un ordinateur de bureau vient … des actions de l’utilisateur, principalement. Clics sur des liens foireux, lancement d’exécutables douteux, etc etc.

Une distribution linux encourage l’utilisateur à utiliser des dépôts centralisés. C’est bien, cela limite les risques d’installation de logiciels venant de sources non authentifiées. Mais est-ce suffisant ? Les dépôts des distributions ne contiennent pas tous les logiciels dont on peut avoir besoin. Et quand ils les contiennent, les logiciels ne sont pas forcément sans failles (au hasard : Flash, Oracle Java) …

Tous ces logiciels forment autant de vecteurs d’attaques potentiellement utilisables pour voler des données, prendre le contrôle de l’ordinateur, etc etc.

Alors, pourquoi y’a t’il aussi peu de vers, virus, chevaux de troie et aux malwares sur Linux ?

Parce qu’il n’y a pas assez d’utilisateurs pour intéresser les hackers, tout simplement.

Vous allez objecter qu’un système basé sur Linux est massivement distribué auprès du grand public, et ce partout dans le monde.

Oui, et vous allez me donner le bâton pour vous battre.

Android est très diffusé. Cet OS est perclus de vers, malwares en tous genre : 97% des malwares mobiles sont sur cet OS (source). Notez que les 3% restants sont sur Symbian, et que Windows Phone et iOS sont étonnements absents du classement.

Une des choses qui limite les dégâts est le fait que 99% des utilisateurs installent leurs logiciels uniquement en passant par le playstore Google. Cependant, les boutiques alternatives qui existent ne sont pas aussi rigoureusement contrôlées que le Playstore. Pour être tout à fait honnête, l’énorme majorité des malwares présents sur Android provient des pays d’Asie, les stores alternatifs asiatiques présentant un taux de malwares assez affolant, pouvant atteindre 1 application sur 20 infectée. Et vu le nombre moyen d’applications installées sur un smartphone, il y’a de fortes probabilités qu’au moins 1 malware soit présent sur chaque smartphone utilisé en Asie.

Ca tombe bien, c’est le plus gros marché. Il est donc normal que les hackers soient intéressés par le développement de malwares, si les vecteurs d’infections existent et qu’ils sont faiblement contrôlés.

L’étude que je n’ai pas réussi à trouver et qui serait extrêmement intéressante, c’est le taux de malwares et autres cochonneries dans les logiciels pirates sur Android. Parce que ce type de logiciels est un vecteur important de Warez sur les autres OS. Sans chiffres précis, il est délicat d’être objectif. Mais quand on lit cet article, on ne peut pas s’empêcher de se dire que oui, ce comportement est universel quelque soit la plateforme.

Or, les logiciels payants à destination du grand public sont rares sur Linux. Si le système devient plus présent sur les bureaux des particuliers et des professionnels, l’offre de logiciels payants va s’étoffer, en particulier les jeux vidéos.

Et les logiciels pirates vont suivre (c’est une constante immuable) …

Et les saloperies suivront aussi (ça aussi, c’est une constante immuable) …

Et les utilisateurs Linux auront ainsi la joie d’avoir besoin d’antivirus, comme les utilisateurs Android en ont besoin.

Faire l’autruche en niant ces états de fait, c’est s’exposer à de gros problèmes.

Car il y’a une chose qui est pire que l’absence de sécurité : c’est l’illusion de sécurité. C’est un peu (à mon avis) le sentiment des utilisateurs d’ordinateurs sous Linux. Ils se croient en sécurité, sans se demander POURQUOI il n’y a pas de virus sur leur système (en oubliant fort obligeamment que le premier virus est apparu sur un système Unix).

 

Sophos UTM – Matériel

Après l’introduction expliquant le but d’un UTM Sophos, je vais vous présenter un peu le matériel que j’ai retenu pour monter mon UTM chez moi.

Le cahier des charges était le suivant :

  • petit

  • SILENCIEUX

  • fiable

  • assez puissant pour supporter un éventuel upgrade de lien Internet.

  • support d’au moins 2 contrôleurs réseaux gigabit Intel ou Broadcom (PAS de contrôleurs realtek)

 

Petit

J’ai une étagère assez petite pour déposer tout mon matériel informatique, ce qui suppose donc que cet UTM doit être le plus petit possible. Le matériel ITX s’impose. Ca tombe bien, mon précédent routeur/firewall était lui aussi composé de matériel au format Mini ITX.

Silencieux

S’agissant de matériel actif en 24/7, je ne veux aucune pièce mobile dans cet ordinateur. Donc exit ventilateurs, disques dur, etc etc. Évidement, cela limite la puissance de traitement car les processeurs acceptant le fanless ne sont pas légions.

Puissance

Sophos UTM étant basé sur snort (entre autres choses), il faut donc que le matériel soit assez puissant pour supporter la charge d’une connexion VDSL, mais aussi éventuellement d’une connexion fibre. Autant le dire tout de suite, j’étais initialement parti sur le fait que la connexion Fibre serait supportée à débit maximal via plusieurs connexion simultanées. Le fait de supporter le débit d’une connexion fibre via une seule connexion n’était pas dans le cahier des charges, c’est un bonus

2 contrôleurs Intel Gigabit (ou plus)

Je hais les cartes réseaux Realtek. Ces cartes sont l’équivalent réseau des winmodems de l’époque (je parle d’une époque que les moins de 20 ans n’ont pas connus, une époque préadsl)

Ces contrôleurs réseaux sont quasiment uniquement gérés par le CPU, alors qu’un contrôleur Intel ou Broadcom va lui traiter beaucoup plus de choses en interne, déchargeant ainsi le CPU.

Inutile de dire que pour mon cahier des charges, un contrôleur Realtek représente le mal absolu : le CPU sera peu puissant (fanless) donc autant le dédier à l’inspection de paquets, et non au traitement de la carte réseau.

Le matériel retenu

Pour monter mon UTM, je suis donc parti de la base existante, et j’ai uniquement changé la carte mère et la RAM.

J’ai donc à disposition :

un boitier antec ITX ISK 300 65 w

un SSD corsair de 60 Go

auquel j’ai ajouté :

1 carte mère Jetway NF9N (processeur celeron 2930 4 coeurs)
1 carte d’extension Jetway (4 ports réseaux Gigabit Intel )
8 Go de RAM

La carte mère Jetway disposant déjà d’un port Intel i211AT Gigabit, cela me fait 5 ports Gigabit Intel à disposition.

Largement de quoi faire.

Assemblage

L’assemblage de ce petit monde est réellement très simple. Il faut juste bien penser à installer l’I/O Shield présentant les 5 ports réseaux.

la carte peut être alimentée par une seule prise 12V, et donc à cet effet, le SSD/disque dur nécessaire à son fonctionnement peut être alimenté directement depuis la carte mère. C’est pour cela qu’est fourni avec un câble un peu bizarre, avec à son extrémité un connecteur de lecteur de disquettes.

Configuration

Notez bien que je ne parle ici que de la postconfiguration spécifique au matériel. Un post plus détaillé sur la configuration dee Sophos UTM viendra dans un futur proche.

Après assemblage et installation de Sophos UTM depuis le CD, je restaure la configuration que j’avais déjà fait sur le précédent matériel.

Après quelques redémarrages, je peux enfin passer à la postconfiguration pour adapter au nouveau matériel.

La première (et seule) action à réaliser est d’ajouter de nettoyer la configuration réseau : Supprimer les interfaces qui n’existent plus et rajouter les 5 interfaces dans le bridge.

Performance

La très très bonne surprise du moment en fait. Suite à l’installation du machin, j’ai commencé par vérifier que tous les paramètres de détection d’intrusion étaient déjà actifs, et j’ai lancé un bon vieux iPerf pour tester.

J’ai testé d’abord l’iPerf sans avoir d’UTM entre les deux extrémités. J’ai obtenu un débit de 940 Mbps. J’ai relancé le test plusieurs fois pour être sûr, les valeurs n’ont bougés que de l’épaisseur du trait.

J’ai donc déplacé le client iPerf sur le switch de la livebox, pour avoir le client coté « public » de l’UTM et le serveur (une VM sur mon XenCenter) de l’autre coté.

Sans que je puisse me l’expliquer, les débits mesurés par iPerf ont variés de 450 Mbps à 560 Mbps.

Bien entendu, pendant le test, un des coeurs du Celeron est occupé à 100% par un processus Snort : ce qui limite le débit est donc bien le CPU.

J’ai relancé plusieurs fois ce test pour être certain des valeurs, sur des durées allant de 1 à 30 minutes.

Ce qui fait que ce matériel pourra amplement encaisser le trafic le jour ou je passerai au FTTH et que j’aurais un débit de 500 Mbps/200 Mbps.

Depuis que l’UTM est démarré, l’occupation RAM n’a pas dépassé les 25 %. Je sais, 8 Go de RAM sont BEAUCOUP trop pour mon utilisation, mais le fait est que je compte garder ce matériel pendant 5 à 8 ans, et qui sait quelle sera la consommation de Sophos UTM d’ici là ?

C’est certain que pour l’instant, avec ma pauvre liaison VDSL 25/1 Mbps, ce système est largement surdimensionné.

Mais au dela de la puissance et de la scalabilité*, je cherchais surtout un système construit à partir de composants de bonne qualité.

Mon but ici est d’avoir le système le plus fiable possible.

Ce système étant en coupure de mon accès Internet, je ne veux pas qu’il tombe en panne, de préférence pendant que je suis en vadrouille à Paris pour une formation de 5 jours. Même si je pense que j’arriverais sans problème à guider mon fils ainé pour qu’il le bypasse, ce n’est bien entendu pas le but.

S’agissant d’une carte mère qui peut être utilisée dans le monde embarqué, je n’ai que peu de doutes sur la fiabilité du matériel.

Sophos UTM Introduction

Avec deux ados a la maison, le besoin de filtrer l’accès a Internet devient une nécessité. Le controle parental Windows n’étant ni fonctionnel sur leurs smartphones, ni sur leurs 3DS XL, j’avais besoin d’une solution indépendante.

Pendant très longtemps, j’ai utilisé un PC sous Linux configuré en proxy transparent. Mais la maintenance de cette solution était très chronophage, je me suis donc mis en recherche d’une autre solution.

Etant administrateur certifié Netasq, j’ai envisagé cela, mais pourquoi avoir la même chose à la maison qu’au boulot  ?

Donc j’ai téléchargé l’édition Home de Sophos UTM. Et je l’ai installé sur la même machine qui faisait fonctionner le routeur Linux. Inutile de préciser que cette machine devra avoir deux interfaces réseaux, si vous ne disposez pas d’un switch compatible VLAN.

Si vous faites parti des malchanceux qui ne peuvent pas régler leur boite en mode modem, il faudra créer un bridge entre votre interface privée et l’interface publique. L’idée est que l’UTM soit en coupure entre votre réseau et votre boite opérateur, afin qu’il voit tout le trafic et qu’il puisse l’intercepter et donc le filtrer.

 

Pebble

Jawbone UP, Fitbitt, Garmin Vivofit, et maintenant une Pebble (et toujours le vivofit à mon poignet). J’avoue qu’avoir un dispositif connecté mon poignet m’intéresse fortement, et j’attends la sortie de l’Apple Watch avec une certaine impatience, pour ne pas dire une impatience certaine.

Mais ça, c’était avant

Avant que je découvre la Pebble au détour d’un article sur un énième site Internet. Cet article annonçait la commercialisation de la montre chez un opérateur mobile, assorti d’un remboursement de 30 €. Ce qui fait la montre à 99€.

Je me suis donc précipité dans une boutique pour acheter l’objet, un peu avant Noël.

Je vais vous livrer mes impressions sur la chose.

Le packaging

La boite est en carton, sobre mais agréable à l’oeil, et qui rentre facilement dans la poche d’un manteau ou dans un petit sac. Quand on ouvre le carton, on retrouve la pebble en premier plan, à la mode Apple. On sort le tout, pour découvrir que sous la Pebble, il y’a le cordon USB de recharge, qui est aimanté. On y trouve aussi 2 petits documents, dont le guide de démarrage rapide.

Ergonomie

La montre est confortable à porter. J’ai acheté celle qui est tout en plastique. Comme toutes les montres de ce type, il faut absolument éviter de trop serrer le bracelet, sous peine de se retrouver avec d’énormes marques.

Cependant, sur un poignet d’homme, la montre n’est pas démesurée et reste confortable à porter. Elle ne fait pas non plus transpirer outre mesure.

L’autonomie & la recharge

Alors là, je ne vais pas y aller par 4 chemins : c’est la meilleure smartwatch du moment sur ce point là (même si la Garmin annoncée lors du CES 2015 sera encore meilleure). Je recharge ma Pebble une fois par semaine. Et la recharge prend 2h.

Celle-ci se fait via un câble USB, avec un connecteur propriétaire coté montre. Celui-ci est aimanté, mais je ne sais pas si c’est le cas de toutes les montres, ou seulement de la mienne, mais l’aimant est très très très faible, et au final le câble se débranche souvent.

Les personnalités

Avec la montre viennent 3 personnalités par défaut, qui sont très simples, mais assez jolies. La première est très intéressante pour apprendre à lire l’heure en anglais, puis qu’elle affiche l’heure telle qu’on la prononce dans cette langue. La seconde est une montre à aiguilles classique, et la troisième est une montre digital qui affiche les heures et les minutes.

Cependant, quand on installe l’application compagnon de la Pebble, on peut télécharger des centaines de personnalités, et surtout des applications qui vont étendre encore les possibilités de la Pebble.

L’application compagnon

IMG_2049.PNG

 

Veuillez noter que je ne vais présenter que les fonctionnalités de l’application iOS, étant donné que je n’ai plus d’Android depuis des années. 

La Pebble sans cette application, c’est comme avoir les pâtes sans fromage, il manque quelque chose d’essentiel.

En effet, cette application permet d’exploiter les fonctionnalités de la Pebble, et permet d’installer des nouvelles applications, ainsi que de nouvelles personnalités.

Notez que si vous avez un smartphone compatible Bluetooth 4 LE et que si vous êtes dans un rayon proche de celui-ci, la communication se fait en consommant beaucoup moins d’énergie.

Elle permet de gérer les applications installées sur la montre. Du fait du stockage limité, la Pebble ne peut embarquer que 8 applications simultanément. Mais pour l’instant, je n’ai pas trouvé cela limitant. Le compagnon permet de conserver les applications téléchargées mais non installées, afin d’éviter d’avoir à les prendre une seconde fois sur les serveurs de Pebble. On peut bien entendu purger les applications de la galerie, afin de faire du ménage sur son smartphone.

Les notifications

Je vais pas tourner autour du pot : c’est selon moi l’intérêt majeur d’une smartwatch par rapport à une montre classique.

Et la Pebble traite le sujet de fort belle manière. En effet, l’application Pebble sur l’iPhone se branche sur le notification center, ce qui lui permet de voir toutes les notifications. Et quand je dis toutes …

Les premières heures, mon poignet tremblait toutes les 3 minutes ou presque. Ceci m’a conduit à repenser les notifications sur mon iPhone, afin d’éviter d’avoir le poignet qui passe son temps à trembler. Au final, je filtre les notifications Mail pour que seuls les mails des VIP soient notifiés, et j’ai désactivé la notification à l’écran pour la plupart des applications. En fait, pour chaque application je me suis demandé si cela avait un intérêt qu’elle m’affiche ses infos directement. Au final, j’ai énormément réduit le volume d’informations qui arrivent sur ma montre pour ne retenir que celles qui m’importent. Ce qui a pour effet bénéfique que je regarde au final moins souvent mon téléphone.

Parmi les notifications, la réception d’un appel est particulièrement pratique, car on peut décrocher directement depuis la montre. Si on a un kit piéton ou une oreillette Bluetooth, on prend directement l’appel. Ce qui évite d’avoir à sortir son téléphone dans la rue. Et pour moi qui avait tendance à rater souvent des appels parce que je n’entendais pas mon téléphone sonner, ou que je ne le sentais pas vibrer à ma ceinture, c’est un énorme changement ! Je n’ai plus raté un seul appel téléphonique depuis que j’ai la Pebble à mon poignet.

Les applications tierces que j’ai acquis

Les applications Pebble sont gratuites. On paye les applications compagnon sur le smartphone. Bien sûr, l’application majeure qui permet de gérer sa Pebble est gratuite, et mise à jour régulièrement.

Cependant, j’ai investi dans une application supplémentaire sur la Pebble, qui me permet de consulter mon agenda depuis la montre. Ce qui est pratique quand on ne veut pas sortir son smartphone de sa poche.

Smartwatch+

IMG_2050.PNG

Véritable couteau suisse, cette application permet d’accéder aux calendriers du smartphone (notez le pluriel, j’ai deux calendriers Exchange, un pro et un perso qui sont affichés par la montre), aux rappels (même chose que pour les calendriers), à la météo et pleins d’autres choses. La fonctionnalité qui m’est très pratique est « Find my Phone », qui permet de faire sonner le smartphone. Vous imaginez aisément à quoi elle peut servir.

L’inconvénient est l’appairage entre la montre et le smartphone ne se fait qu’en bluetooth « normal » donc la consommation d’energie est beaucoup plus importante. Et là, ça devient problématique pour mon iPhone 5S, qui se vide en une journée, à peine. avant d’avoir une pebble, je ne le rechargeais que le soir, et il était à 35 ou 40 % de batterie.

 

Là, je suis obligé de le brancher le soir en rentrant chez moi, et bien souvent avant même de rentrer chez moi en utilisant une batterie USB. C’est un inconvénient majeur à mon avis et cela mitige un peu l’intérêt des applications additionnelles de ce type.

OS X : Restaurer depuis la ligne de commande

Ok, Time Machine est un outil génial, qui existe depuis Leopard (2007).

Cet outil permet de gérer ses sauvegardes sur son Mac. Ca parait stupide dit comme cela, mais au final c’est un outil comme j’aime : on le paramètre et on l’oublie.

Quand j’ai acheté mon MacBook Pro, j’ai acheté en même temps une borne TimeCapsule de 1To. Donc mon backup n’est pas hébergé sur un disque dur externe branché sur mon Mac, ce qui ajoute un peu plus de sécurité encore.

Hier soir, j’ai fait une connerie, j’ai supprimé un répertoire dans ma copie de travail du site internet d’une amie. Comme je développe en PHP poru ce site, j’ai installé un subversion sur mon serveur personnel pour gérer les multiples versions des fichiers, et pouvoir revenir en arrière.

 

Or, je suis tombé sur un OS en voulant commiter la dernière version du site. J’ai suivi quelques tutoriels sur StackOverflow, mais du coup, j’ai foutu en l’air la copie de travail sur mon Mac : impossible de la synchroniser.

 

Pour le coup, j’ai voulu dégainer Time Machine pour restaurer le répertoire supprimé, mais las, c’est un répertoire commençant par un . et donc, il n’apparait pas dans le finder.

 

C’est là que la commande tmutil intervient. J’avais déjà utilisé cette commande pour désactiver les sauvegardes locales (une fonctionnalité apparue sur 10.8 et qui permet de faire des sauvegardes même si on est pas sur son réseau local). Mais grâce à cette fonction, on peut contrôler complètement TM, en particulier restaurer des fichiers.

Accrochez vous, la commande est étonnante de simplicité :

pc55:~ oupsman$ tmutil restore -v /Volumes/Copies\ de\ sauvegarde\ Time Machine/Backups.backupdb/MacBook\ Pro\ de\ Benoit\ SERRA/2014-05-26-193829/Macintosh\ HD/Users/oupsman/wordpress /Users/oupsman/Documents/

It’s that easy

Par fainéantise et pour tester la validité de mon procédé, j’ai restauré la totalité du répertoire de travail, alors que j’aurais pu restaurer uniquement le répertoire supprimé.

Dans ce cas, j’aurais juste tapé cette commande :

 

pc55:~ oupsman$ tmutil restore -v /Volumes/Copies\ de\ sauvegarde\ Time Machine/Backups.backupdb/MacBook\ Pro\ de\ Benoit\ SERRA/2014-05-26-193829/Macintosh\ HD/Users/oupsman/wordpress/.svn /Users/oupsman/Documents/

Vous notez que je ne restaure pas à l’emplacement d’origine des données. C’est une vieille habitude, et une bonne pratique, afin de s’assurer qu’on ne casse rien en restaurant.