freebox vpn ikev2

Depuis l'arrêt du support du protocole PPTP dans iOS, jugé pas assez sécurisé, il est désormais possible de monter un tunnel VPN avec le protocole IKEV2 entre votre terminal iOS / Android et votre Freebox. Non sans difficulté malheureusement, due à un manque de documentation de la part de Free sur les fonctions avancées de la Freebox V6...

Pour activer un VPN IKEV2, rendez-vous sur le portail d'administration de votre freebox depuis votre réseau local : http://mafreebox.freebox.fr

Définissez un compte utilisateur VPN et activez le service IKEV2 depuis la page "Serveur VPN " :

freebox activation vpn

Une fois le service activé, une popup devrait vous indiquer que ce service n'est pas disponible malgré le fait que vous ayez activé le service VPN IKEV2 : "Ce service n'est pas disponible sur votre connexion".

Quand vous vous rendez sur la page de gestion des ports de votre Freebox, les ports sont de couleur rouge ?

Ceci est probablement lié au fait que vous n'avez pas fait de demande d'une IP fixe auprès de Free, cette demande peut se faire en 30 minutes depuis le portail Free, onglet "Ma Freebox" :

freebox ip fixe fullstack

Attendez 30 minutes après l'activation de cette fonction et redémarrez votre Freebox, une nouvelle adresse IP devrait vous être assignée par Free. Cette action vous permettra de déverrouiller les ports qui s'affichaient en rouge depuis l'outil de gestion des ports de votre Freebox :

freebox ouverture ports ikev2

Ensuite, il vous faut un certificat SSL et un nom de domaine pour que le service IKEV2 soit complètement opérationnel. C'est ce que j'ai pu constater faisant mes tests sur un domaine personnel sans SSL, celui-ci n'était pas compatible avec le service IKEV2. Ce problème est d'ailleurs confirmé par d'autres utilisateurs sur le portail d'anomalie Free : https://dev.freebox.fr/bugs/task/20...

Rendez-vous sur la page de gestion des domaines et demandez un domaine en freeboxos.fr, un certificat SSL Letsencrypt vous sera délivré dans les quelques minutes qui suivent votre demande.

freebox domaine ssl

Dès lors que le domaine est actif, rendez-vous sur la page de configuration du service IKEV2 pour vérifier que le domaine utilisé est bien le domaine en *.freeboxos.fr.

Il ne vous reste qu'à configurer le VPN depuis votre terminal, pour cela il vous suffit de recopier les valeurs affichées dans le panneau de configuration du VPN IKEV2 dans le paramétrage VPN de votre terminal mobile :

  • Sur iOS : directement dans les paramètres VPN du menu "général" du paramétrage de votre terminal.
  • Sur Android: via l'application StrongSwan disponible depuis le Play Store.

Testez ensuite le service depuis une connexion 3G/4G, la communication devrait être normalement opérationnelle...

En espérant que cet article puisse sauver les Freenautes qui sont tombés sur les tickets en cours autour de l'IKEV2. N'hésitez pas à me laisser un commentaire si cet article a permis de débloquer votre problème !

IMG 0586.JPG

Les failles de sécurité sont souvent d'origine humaine, en voici un parfait exemple. Fluxion est un nouvel outil qui exploite l'incrédulité des utilisateurs pour leur voler leur mot de passe WiFi.

Son fonctionnement est très simple, l'outil scanne les réseaux environnants, vous propose quel réseau vous souhaitez pirater, il lance ensuite un réseau WiFi avec le même SSID, mais sans authentification.

Sur ce réseau WiFi, un faux portail Web captif est démarré. Les utilisateurs se retrouvent redirigés vers ce portail et saisissent leur mot de passe WiFi pensant que c'est leur vrai réseau WiFi qui requiert ce mot de passe. Le pirate n'a plus qu'à récolter le mot de passe pour se connecter au réseau WiFi.

Voici un exemple de portail Web démarré par Fluxion : portail fluxion

L'attaque fonctionne pour avec tous les types de chiffrement : WEP, WPA, WPA2. Ce n'est cependant pas le meilleur outil pour craquer des réseaux WiFi utilisant du WEP.

C'est une attaque simple de type MITM (Man In The Middle) qui doit probablement fonctionner dans de nombreux cas d'utilisation. C'est d'autant plus vrai qu'il y a d'utilisateurs qui se partagent le même mot de passe WiFi.

Voici une vidéo de Tech Basket qui présente le fonctionnement de ce script qui fonctionne sous Linux :

Enfin, si vous voulez aller plus loin, un article sur le site de null-byte détaille très bien l'outil.

Le script Fluxion est en libre téléchargement depuis GitHub.

Prenez garde si un jour un portail Web vous demande le mot de passe de votre réseau WiFi et regardez pas la fenêtre si vous voyez un fourgon aux vitres teintées.

Remarque : L'usage de ce type d'outil est bien sûr illégal et s'apparente à du phishing réprimandé par différents articles du code pénal.

nas synology securite


Je viens finalement d'échanger mon NAS LG contre un NAS Synology DS-216+II tout neuf équipé de deux disques de 4To. Après m'être fait piraté mon NAS LG il y a quelques années, je suis très vigilant sur la sécurité, voici donc 9 conseils pour sécuriser votre NAS Synology avant de vous le faire pirater ou véroler.

1. Désactiver Quickconnect

Les NAS Synology sont livrés avec le service Quickconnect qui vous permet d'accéder à votre NAS de n'importe où sur la planète malgré le fait qu'aucune redirection de port n'ait été configurée préalablement sur votre box Internet. C'est un service très pratique, mais pas suffisamment sécurisé si votre identifiant peut-être deviné par une tierce personne mal intentionnée.

Cette personne peut très facilement accéder à la mire d'authentification de votre NAS sans forcément connaitre l'IP du NAS, juste en devinant le login Quickconnect. Exemples :

synology quickconnect

Je vous conseille donc de favoriser l'utilisation d'un VPN pour accéder à votre NAS à distance et de désactiver ce service dans la mesure où vous avez les connaissances suffisantes en informatique pour éviter son usage.

2. Désactiver l'UPNP

Les NAS Synology sont capables de négocier dynamiquement des redirections de port sur votre routeur si celui-ci supporte l'UPNP. C'est bien-sur très pratique pour madame Michu, mais éviter cette option de facilité si vous souhaitez garder la main sur les services de votre NAS expose sur Internet.

Ne redirigez que les ports des services que vous souhaitez partager à de tierces personnes, favorisez plutôt l'usage d'un VPN pour accéder à votre NAS en toute sécurité depuis le réseau Internet.

synology upnp

3. Activer le pare-feu

Activez le pare-feu du NAS et créez une restriction d'accès aux IP de votre réseau local en excluant l'IP de votre routeur et autres périphérique qui n'ont en théorie pas besoin d'accéder à votre NAS. Seules les machines de la plage d'IP définie pourront accéder aux services du NAS. Même en cas de piratage de votre box ADSL, vos données seront protégées.

synology firewall

4. Demandez à votre conseiller de sécurité d'être plus vigilant

Par défaut, le conseiller sécurité du NAS contrôle la sécurité de peu de points. Vous pouvez renforcer la sécurité de votre NAS en activant le profil "Entreprise" depuis la page de configuration du conseiller sécurité. Ce profil active la majorité des règles de sécurité disponibles.

Enfin, n'oubliez pas d'activer le contrôle régulier et surtout d'activer l'alerte email, push, sms pour être averti au moindre problème de sécurité identifié par cet outil.

synology conseiller securite

5. Activez seulement les services que vous utilisez

Réduisez au maximum les services actifs, démarrez que ceux que vous utilisez pour éviter qu'un des services ne soit vérolé. Faites un tour sur le panneau de configuration "Services de fichiers" et n'activez que les services que vous utilisez.

synology services de fichiers

Enfin, vérifiez que les paquets installés vous sont bien utiles, désinstallez ceux que vous n'utilisez pas depuis l'outil de gestion des paquets.

6. Mettez à jour régulièrement votre système

Mettez régulièrement le firmware de votre NAS pour bénéficier des patchs de sécurité fournis par Synology. Vous avez la possibilité d'activer la mise à jour automatique soit des patchs critiques ou alors de l'ensemble des mises à jour proposées.

synology mises a jour

7. Évitez de monter des disques avec un compte d'admin

Évitez l'usage d'un compte ayant un accès complet en lecture / écriture sur les montages réseau de votre NAS. Favorisez l"usage de comptes différents pour éviter qu'un Ransomware ne puisse chiffrer l'ensemble de vos données.

8. Activer la double authentification par jeton sur téléphone mobile

Vous avez la possibilité d'activer une double authentification sur votre NAS pour s'authentifier sur le portail d'administration. Cette fonction est disponible depuis la page de votre profil :

synology double authentification

Une fois cette option active, vous devrez utiliser Google Authenticator sur votre terminal mobile pour pouvoir vous authentifier sur votre NAS. Même en cas de vol de votre mot de passe, le pirate n'aura pas accès au portail d'administration de votre NAS.

9. Prévoyez un plan B sur le cloud

Malgré une duplication de vos données sur les deux disques durs, prévoyez un plan B en cas d'incendie ou de corruption complète des données par un Ransomware qui se serait introduit sur votre PC ou un objet connecté de votre réseau et qui aurait chiffré tous les partages trouvés sur votre réseau.

Je vois par défaut 3 solutions :

  • La sauvegarde sur le cloud Amazon grâce à l'application Synology Glacier (ou un autre cloud via une application tierce).
  • La sauvegarde sur un autre NAS Synology distant.
  • La sauvegarde sur un disque USB externe que vous n'oublierez pas de stocker dans un autre endroit que chez vous.

J'ai retenu la solution Amazon Glacier pour plus de flexibilité / simplicité. Le coût du stockage sur le datacenter d'Irlande d'Amazon Glacier est actuellement de 0.004€ le Go par mois. Les coûts de restauration sont un peu plus chers mais acceptables en cas de sinistre...

synology glacier

Enfin, n'oubliez pas, les virus les plus malicieux sont souvent ceux que l'on voit le moins ....

dericam 1080p

Vous recherchez une caméra de surveillance avec un bon rapport qualité-prix ? J'ai testé pour vous l'une des caméra IP les mieux notées actuellement sur Amazon, la Dericam 1080p Full HD.

Cette caméra IP Full HD est actuellement commercialisée au prix de 74,99€ sur Amazon. Au-delà de son prix, elle possède 4 avantages notables quand on la compare aux autres caméras de sa catégorie :

  • Elle est full HD et dispose d'une motorisation 365°.
  • Elle ne dépend pas d'une offre cloud comme les DLink, elle dispose d'un stockage local micro SD et FTP.
  • Elle dispose d'une prise Ethernet en plus de sa connexion WiFi.
  • Elle est compatible avec des systèmes de vidéosurveillance sur les NAS via son protocole ONVIF.

Dans l'ensemble, la caméra s'installe très rapidement depuis une application mobile sur Android/iOS ou depuis un PC. Je vous recommande fortement d'avoir un serveur DHCP actif sur votre réseau pour simplifier le processus d'installation.

Une fois la caméra connectée à votre réseau, la configuration globale peut se faire depuis l'application mobile Dericam ou au travers du portail Web qu'expose la caméra. Certains paramètres ne sont pas évidents à comprendre et nécessitent parfois d'être testés .... C'est par exemple le cas de la planification des alertes et du bouton d'activation / désactivation des alertes, qui a la priorité sur l'autre ? C'est le bouton, faut-il encore le deviner.

Cependant, faites attention, les fonctions disponibles sur le portail et sur l'application mobile ne sont pas toutes identiques. Le portail permet de configurer les plages horaires des alertes alors que l'application mobile permet de régler la sensibilité et l'activation/désactivation de l'alerte par exemple.

Enfin, un point assez troublant, le menu d'administration change en fonction des capacités de votre navigateur, vous aurez par exemple accès à des paramètres de configuration avancés via IE 11 ou Firefox supportant le plugin Dericam utilisant les API NPAPI (gestion du playback, configuration des zones de surveillance ...). Alors que sous Chrome, ces paramètres vous ne seront même pas proposés aux administrateurs.

N'oubliez pas de lancer une mise à jour du firmware de la caméra lors de sa première utilisation depuis l'application mobile. Cela vous permettra d'utiliser le dernier firmware à jour et éviter d'être face à des bugs déjà corrigés.

dericam screenshot1

Le point le plus troublant de la caméra est de voir que l'on peut y avoir accès depuis Internet via l'application mobile sans ouvrir son firewall. Ceci grâce à la fonction P2P incluse dans la caméra qui permet à celle-ci de s'annoncer sur un cluster de 3 serveurs Dericam hébergée chez Amazon. L'application mobile Dericam pour se connecter à votre caméra, transmet une demande en UDP aux 3 serveurs Dericam, le serveur qui connait les informations de socket de la caméra, les transmet à l'application mobile qui lui permettront ainsi d'établir une connexion directement avec la caméra en outre-passant les pare-feux.

Cela ressemble à de la magie, c'est le mécanisme classique d'un serveur TURN. Si vous êtes paranoïaque, je vous conseille de désactiver cette fonction P2P et de mettre en place un VPN entre votre domicile et votre terminal mobile pour vous connecter de manière sécurisée avec votre caméra. Ce conseil est d'autant plus vrai quand on regarde les ports du serveur ouverts sur Internet de ces 3 machines et du manque de chiffrement dans le protocole P2P utilisé...

iot security is a nightmare but what is the real risk 32 1024 Slide extrait de la présentation de Zoltan Balazs

Bref, malgré l'incompatibilité de certaines fonctionnalités avec Chrome et Edge et le point d'attention sur la sécurité, c'est un produit avec un très bon rapport qualité / prix.

Voici une synthèse de ce que l'on a aimé et moins bien aimé :

On aime

  • Le prix de la caméra.
  • La motorisation silencieuse de la caméra.
  • L'application mobile iOS / Android disponible aussi sur tablette. L'application est simple, mais d'une fluidité parfaite.
  • La réactivité du support.
  • Le support du Push notification mobile.
  • La qualité de la vidéo HD.
  • L'enregistrement local sur carte micro-SD et FTP.
  • L'envoi de photos par email.
  • L'accès à la carte SD de la caméra depuis l'application mobile.
  • La planification du système de détection de mouvement par tranche de 30 minutes.
  • La mode infrarouge fonctionnant plutôt bien.
  • La non adhérence à un cloud de stockage comme sur les caméras DLINK.

On aime moins

  • Les fonctionnalités restreintes si vous utilisez un navigateur autre que IE 11 ou un firefox NPAPI compatible. Le support travaille sur une nouvelle solution pour ne plus utiliser les NPAPI qui sont actuellement bloquées sur les navigateurs modernes.
  • Le manque de chiffrement sur le protocole P2P et d'inscription au Push notification.
  • La sécurité du mot de passe que l'on retrouve encodé en base 64 dans toutes les requêtes HTTP.
  • Le manque d'un trigger HTTP en cas d'alerte pour déclencher un script configurable comme IFTT par exemple.
  • Les API HTTP exposées par la caméra ne sont pas RESTFULL et pas ouvertes officiellement pour un usage externe.
  • La complexité de certains paramètres avancés dans le portail d'administration.
  • Les fonctionnalités légèrement différentes offertes entre l'application mobile et le portail Web (calendrier, alarme sonore, activation / désactivation des alertes ...).
  • Les traductions aléatoires en langue française.

Cette caméra de surveillance IP Dericam 1080p est actuellement en réduction et disponible au prix de 74,99€ sur Amazon. N'oubliez pas de désactiver la fonction P2P et de mettre en place un VPN sécurisé si vous souhaitez renforcer la sécurité de cette caméra en mobilité.

UPDATE : L'application mobile ne fonctionne plus dès lors que le protocole P2P est désactivé ....

iphone mac

Vous souhaitez analyser le trafic réseau d'une application mobile sur votre iPhone ou votre iPad ?

Vous vous demandez comment fonctionne une application mobile, quelles sont les API utilisées, les protocoles mis en oeuvre... Voici une solution très simple sous MacOS pour récupérer l'ensemble des traces réseau de votre terminal iOS.

Cette méthode fonctionne sur un Mac ou via une VM MacOS sous Windows si vous avez une licence MacOS.

1. Connectez votre iPhone ou votre iPad à votre Mac

Récupérez l'UDID de votre terminal iOS depuis iTunes. Pour cela, cliquez sur le champ présent en dessous de "Phone Number" jusqu'à obtenir l'UDID de votre terminal. Faites ensuite un clic droit / copier pour copier la valeur de l'UDID.

iphone udid

Monter une interface réseau entre votre terminal et MacOS

Ouvrez un terminal et tapez la commande "rvictl -s" accompagnée de l'UDID de votre terminal.

Remarque : si la commande rvictl est inconnue de votre terminal, installez XCode et mettez à jour XCode après son lancement pour disposer de cet outil.

rvictl

Cette commande initialisera une interface réseau virtuelle "rvi0" que vous pourrez apercevoir via la commande "ipconfig -l".

2. Installez et démarrez Wireshark

Wireshark est un outil gratuit d'analyse de trames réseau, l'outil est disponible pour MacOS sur le site officiel Wireshark.

Une fois l'outil installé, lancez-le et ouvrez la fenêtre de paramétrage "Capture Options" accessible depuis le bandeau de l'outil :

wireshark rvi0

Sélectionnez uniquement l'interface réseau rvi0 et appuyez sur le bouton "start" tout en bas de la fenêtre.

À partir de maintenant, toutes les trames réseau transmises par votre iPhone ou votre iPad s'afficheront sur l'écran de Wireshark.

wireshark iphone

Dès l'enregistrement terminé, vous n'aurez plus qu'à stopper l'enregistrement et démonter l'interface réseau virtuelle rvi0 via la commande :

rvictl exit

3. Analyse des trames réseau

Wireshark est un outil très puissant, pour comprendre comment analyser les paquets réseau capturés, je vous recommande ce tutoriel sur Développez.com qui détaille la base de l'usage du logiciel Wireshark.

Pour un apprentissage plus complet, vous pouvez vous orienter vers le livre "Wireshark 101" disponible au format Kindle sur Amazon.

Happy hacking !


Crédit photo couverture : Goran Ivos

achi solution entreprise expert technique

Architecte Entreprise, Architecte Solutions et Expert Technique ... Ces trois professions sont souvent obscures même pour des personnes travaillant dans l'informatique. J'ai trouvé un moyen d'expliquer la différence entre ces 3 professions au travers d'une gamme d'objectifs. La preuve en image !

Architecte Entreprise

L'architecte entreprise a une vision grand-angle du SI. L'architecte entreprise adapte l'urbanisation du SI aux enjeux métiers. Il a une très bonne connaissance de l'ensemble des briques constituant le SI et de la roadmap stratégique. L'architecte entreprise a une connaissance des solutions du marché sans forcément en avoir la maîtrise.

archi entreprise

Architecte Solutions

L'architecte solutions possède une vision plus réduite du SI que l'architecte entreprise, il possède cependant une expertise plus pointue dans la mise en oeuvre et le design de solution logicielle. Il a une vision des solutions du marché et est capable d'adapter les choix de solution en fonction de la stratégie IT et des enjeux métiers.

archi solution

Expert Technique

L'expert technique possède une vision très précise d'une ou plusieurs solutions. Son expertise lui permet de débloquer des problématiques techniques et permet de réduire les risques de mise en oeuvre d'une solution IT.

expert technique

Dans la réalité, le rôle d'architecte entreprise empiète régulièrement sur le métier d'architecte solutions et le rôle d'architecte solutions sur le rôle d'expert technique.

nantes maker faire 2017

Vous n'avez pas eu la chance de venir faire un tour à la Maker Faire Nantes 2017 qui a eu lieu le week-end dernier ?

Voici une petite synthèse en vidéo prise avec ma Go Pro, avec à la 47ème seconde une prise de vue de notre éléphant mécanique.

Un grand merci aux organisateurs de cet événement et aux nefs qui constituent un lieu parfait pour ce type d'événement.

devfest nantes 2017

Vous ne savez pas quoi faire les 19 et 20 octobre prochain ? Soyez un développeur, soyez un héros et rejoignez notre DevFest Nantais national.

Le DevFest 2017 est la 6ème édition d’un événement de conférences sur Android, AppEngine, Angular, Chrome, HTML5, Docker... C'est une occasion de partager et d’échanger autour des technologies du Web, du Cloud, du Mobile et des Objets Connectés.

Cette année, c'est pas moins de :

  • 1600 Participants
  • 2 Jours
  • 4 Tracks
  • 60 Sessions
  • 70 Speakers
  • et toujours plus de fun !

Après avoir reçu pas moins de 345 propositions de sujets de sessions, c'est l'heure du tri pour le GDG Nantais, il va falloir sélectionner 1 sujet sur 6 ... Le programme définitif sera connu une fois le tri réalisé, en attendant les places se vendent à une vitesse ... Il ne reste déjà plus de Early Bird et de places pour les étudiants.

Si vous souhaitez passer un bon moment en octobre, n'attendez pas la rentrée pour acheter votre place, la billetterie se trouve ici.

Be a Coder. Be a Hero!