✦
Important Article toujours en cours de rédaction. Différentes options pour optimiser ses captures tcpdump Comment capturer uniquement les appels HTTP GET entrants sur le port 443 (Apache/NGINX) tcpdump -i enp0s8 -s 0 -A 'tcp dst port 443 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' Comment capturer tout le trafic (ou) requêtes HTTP GET entrantes tcpdump -i enp0s8 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' Explication: tcp[((tcp[12:1] & 0xf0) >> 2):4] détermine d’abord l’emplacement des octets qui nous intéressent (après l’en-tête TCP), puis sélectionne les 4 octets avec lesquels nous souhaitons faire correspondre.
Comprendre les logs IPSEC sur un Firewall Fortigate IPsec phase1 IPsec phase1 negotiating logid="0101037127" type="event" subtype="vpn" level="notice" vd="root" eventtime=1544132571 logdesc="Progress IPsec phase 1" msg="progress IPsec phase 1" action="negotiate" remip=11.101.1.1 locip=173.1.1.1 remport=500 locport=500 outintf="port13" cookies="e41eeecb2c92b337/0000000000000000" user="N/A" group="N/A" xauthuser="N/A" xauthgroup="N/A" assignip=N/A vpntunnel="to_HQ" status="success" init="local" mode="aggressive" dir="outbound" stage=1 role="initiator" result="OK" IPsec phase1 negotiated logid="0101037127" type="event" subtype="vpn" level="notice" vd="root" eventtime=1544132571 logdesc="Progress IPsec phase 1" msg="progress IPsec phase 1" action="negotiate" remip=11.101.1.1 locip=173.1.1.1 remport=500 locport=500 outintf="port13" cookies="e41eeecb2c92b337/1230131a28eb4e73" user="N/A" group="N/A" xauthuser="N/A" xauthgroup="N/A" assignip=N/A vpntunnel="to_HQ" status="success" init="local" mode="aggressive" dir="outbound" stage=2 role="initiator" result="DONE" IPsec phase1 tunnel up logid="0101037138" type="event" subtype="vpn" level="notice" vd="root" eventtime=1544132604 logdesc="IPsec connection status changed" msg="IPsec connection status change" action="tunnel-up" remip=11.
Avertissement Toujours en cours d’élaboration
Le contenu de cette page est toujours en cours de mise en oeuvre. Contenu, mise en forme.
NMAP Commands Cheatsheet The following section explains the usage of category-wise NMAP diverse commands with examples as following -
Basic Scanning Commands Goal Command Example Scan a Single Target nmap [target] nmap 192.168.0.1 Scan Multiple Targets nmap [target1, target2, etc nmap 192.168.0.1 192.168.0.2 Scan a Range of Hosts nmap [range of ip addresses] nmap 192.
Commandes utiles OpenSSL Demandes de certificats et gestion de clés Si vous avez commandé un certificat, il faut générer une demande de certificat pour finaliser la commande. Vous pouvez le faire comme suivant, avec une nouvelle private key: openssl req -sha256 -nodes -newkey rsa:2048 -keyout www.server.com.key -out www.server.com.csr Générer une nouvelle demande de certificat à base d’une clé existante: openssl req -new -sha256 -key www.server.com.key -out www.server.com.csr Générer une demande de certificat à base d’un certificat existant: openssl x509 -x509toreq -in www.
Script pour durcir la configuration d’un switch Cisco Catalyst Le script ne durcit pas la configuration du switch mais permet de créer un rapport qui dresse un bilan de ce durcissement. Ne prends pas en compte les recommandations aprés 2020. A mettre à jour.
!NOTE: items that require tuning !Systems linked to availability, RTS-SW-037,ANSSI-R37 !Systems linked to availability, RTS-SW-038,ANSSI-R38 !Systems linked to availability, RTS-SW-039,ANSSI-R39 !Systems linked to availability, RTS-SW-040,ANSSI-R40 !Systems linked to availability, RTS-SW-041,ANSSI-R41 !
Introduction Qu’est-ce qu’une PKI ? Une PKI (Infrastructure à Clés Publiques) est un ensemble de protocoles, de politiques et de procédures qui permettent de gérer les clés de chiffrement et de certificats numériques pour assurer l’authentification, la confidentialité et l’intégrité des communications électroniques. La PKI repose sur une structure en arborescence, avec une Autorité de Certification Racine (AC Racine) et des Autorités de Certification Intermédiaires (AC Inter). Les AC Racine et Inter délivrent des certificats aux entités (serveurs, clients) afin de valider leur identité.
Script pour durcir la configuration d’un switch Cisco Nexus Le script ne durcit pas la configuration du switch mais permet de créer un rapport qui dresse un bilan de ce durcissement. Ne prends pas en compte les recommandations aprés 2020. A mettre à jour.
!Notes: items that require tuning ! !Routing RTS-SW-031 ANSSI-R31 !requires remeditation of VPC keepalive !Routing RTS-SW-034 ANSSI-R34 !to be enabled ? !Security-protecting ports RTS-SW-035 ANSSI-R35 ! port security ?
En cours de rédaction!
Le contenu de cet article reste encore trés sommaire.
Docker commenades utiles SWAG Voir les “prisons” actives :
docker exec -it swag fail2ban-client status Voir les IPs bannies pour une “prison” :
docker exec -it swag fail2ban-client status <NOM_PRISON> Sortir une IP d’une “prison” :
docker exec -it swag fail2ban-client set <JAIL-NAME> unbanip <ADRESSE_IP> Bannir une IP dans une “prison” :
docker exec -it swag fail2ban-client set <JAIL-NAME> banip <ADRESSE_IP>
1. Introduction 1.1 Parser (Analyseur) Un analyseur est un fichier de configuration YAML qui décrit comment une chaîne doit être analysée. Cette chaîne peut être une ligne de journal ou un champ extrait d’un analyseur précédent.
Alors que de nombreux analyseurs s’appuient sur l’ approche GROK (alias expression régulière nommée groupes de capture), les analyseurs peuvent également utiliser des expressions pour effectuer une analyse sur des données spécifiques (c’est-à-dire json), se référer à des méthodes externes pour l’enrichissement ou même effectuer une White Liste .
Comment sécuriser sa configuration SSH The goal of this document is to help operational teams with the configuration of OpenSSH server and client. All Mozilla sites and deployment should follow the recommendations below. The Security Assurance and Security Operations teams maintain this document as a reference guide.
Only non-default settings are listed in this document Most default OpenSSH settings that are security-related already provide good security, thus changing them is at your own risk and is not documented here.
✦
Création d’une PKI sur Linux : Logiciels, Avantages et Inconvénients Une Infrastructure à Clé Publique (PKI - Public Key Infrastructure) est un système de gestion de certificats numériques qui permet de sécuriser les communications en ligne et d’authentifier les entités. Sur Linux, plusieurs logiciels sont disponibles pour créer une PKI. Voici une liste des principaux logiciels, ainsi que leurs avantages et inconvénients :
1. OpenSSL Avantages :
Très répandu et largement supporté sur les systèmes Linux.
✦
Introduction à la PKI Dogtag : fonctionnement et bonnes pratiques Qu’est-ce qu’une PKI Dogtag ? Une PKI (Infrastructure à Clés Publiques) est un ensemble de protocoles, de politiques, de normes et de logiciels qui permettent de gérer des certificats numériques et les clés publiques/privées associées. Dogtag est une PKI open-source développée principalement par Red Hat, et elle est largement utilisée pour sécuriser les communications dans les environnements d’entreprise.
Dans cet article, nous allons explorer le fonctionnement de la PKI Dogtag, y compris l’installation des autorités de certification racine et intermédiaires, la génération de clés pour un serveur et un client, les commandes pour révoquer ces clés, et enfin, les bonnes pratiques pour l’utilisation d’une PKI.
