Dans cette démonstration je vais détailler les configurations nécessaires pour mettre en place un VNC à travers le WAN et prendre la contrôle d' un PC lorsque on est hors du réseau privé.

Schéma réseau:

Prérequis :

• Avoir un compte DynDNS pour créer un nom d' hôte: Lien ici
• Si vous avez une IP dynamique, utiliser "DynDNS update client" ici
• Avoir un PC Windows allumé (pas de wake-on-lan)

Configuration de DynDNS

Avant tout, pour utiliser un nom FQDN sur internet (fully qualified domain name) vous devez configurer le compte DynDNS

Dans la section Host Services | Hostname | Créez votre alias : exemple: alias.dyndns.org = 85.25.20.249

Installer le DynDNS update client en tant que service Windows sur le PC Serveur-VNC pour toujours avoir une correspondance entre l' IP Publique et le nom FQDN

Configuration du routeur

Ensuite, ajouter ce compte sur le routeur 192.168.2.1. (ici j' utilise un Netgear, comme les constructeurs ont tous des versions différentes, je vous conseil de vous reporter à la documentation de votre machine pour obtenir les mêmes configurations).

Allez dans Advanced | Dynamic DNS | choisissez le fournisseur www.dyndns.org et ajouter votre compte et le mot de passe

Nous allons maintenant ajouter les ports VNC en port forwading pour diriger les connexions de prise en main à distance vers le Serveur-VNC . (Je vous conseil aussi ce site ici qui explique la configuration pour tous les types de routeurs existants)

Allez dans Advanced | Port Forwading | Add Custom Service | Ajouter les ports TCP 5900, 5800 sur l'IP interne 192.168.2.112

Ajouter aussi la réponse au ping sur le routeur 192.168.2.1

Allez dans Allez dans Advanced | WAN setup | Respond to Ping on Internet Port

Installer VNC

Télécharger tightvnc ici et installer le logiciel sur le Serveur-VNC

Sélectionner les options pour pouvoir démarrer VNC en tant que service Windows et Associer les .vnc avec tightvnc viewer

A la fin de l' installation vous devez changer les mots de passes.

Le 1er mot de passe servira pour entièrement prendre le contrôle de la machine, le second est fait pour uniquement voir les changements sur le PC.

Pensez aussi si vous utilisez un Pare-feu local à ajouter les ports VNC à liste des exceptions

Une fois cette dernière étape effectuée , il ne vous reste plus qu' à  installer le poste Client-VNC pour administrer à distance le Serveur-VNC

Sélectionnez uniquement l' option Tightvnc viewer durant l' installation

A partir du Client-VNC , lancez le programme : Démarrer | Programmes | TightVNC | TightVNC Viewer.exe

Tapez le nom publique de votre Serveur: alias.dyndns.org , choisissez votre profile pour la bande passante et enfin entrez le mot de passe VNC.

Voila, votre session à distance fonctionne

Note: Il existe beaucoup de solutions pour prendre à main à distance un PC , VNC présente l' avantage d' être gratuit malgré certaines faiblesses de sécurités (ouverture de ports, mot de passe faible, ne traverse pas tous les pare-feux)

J' utilise ce script depuis plusieurs années déjà , il permet de lancer une défragmentation de tous vos lecteurs logiques et d' afficher le résultat sur C:\

Le .vbs se trouve sur mon dossier public ici

Note: Fonctionne avec Windows 2000/XP/2003

Dans cette demo, je ne veux pas sécuriser tous les paquets transitant sur le réseau avec Ipsec, mais seulement le trafic échangé entre un poste Client-XP et un serveur sensible Windows-2003-SA.

Pré-requis : Le client et le serveur doivent appartenir à une forêt / domaine car ipsec utilise Kerberos pour l' authentification.

Dans cet exemple:

• Contrôleur de domaine = IP : 192.169.1.200
• Windows-SA= IP: 192.169.1.201
• Client-XP = IP:192.168.1.10

Par défaut, 3 stratégies ipsec sont présentes sur Windows-2003-SA, mais aucune n' est activée.

• Client (Respond Only) communique sans Ipsec, sauf si un serveur lui demande d' utiliser Ipsec
• Secure Server (Require Security) impose l' utilisation d'IPSec et coupe la connexion en cas d' échec de négociation entre 2 Pc
• Server (Request Security)demande l' utilisation d'IPSec, mais accepte de communiquer en clair en cas d' échec de négociation

Créer un stratégie IPSEC personnalisée

Sur Windows-2003-SA Cliquer droit, Create IP security Policy et suivre l' assistant

Créer une 1ere règle pour accepter tout le trafic (la règle par défaut = dynamic - default response - kerberos)

Ensuite, créez une 2eme règle personnalisée pour filtrer les paquets entre le client-XP et Windows-2003-SA

Filtrez les paquets , la communication ne doit se faire qu' entre Windows-2003-SA et Client-XP: (Add | source address My_IP_Address - Destination DNS: A_specific_IP_Address)

choisir la méthode d' authentification avec kerberos

Ensuite, créez une règle pour bloquer le reste du trafic

Ajoutez une dernière règle pour autoriser uniquement le trafic ICMP

Appliquez cette stratégie aux stations de travail du domaine. Pour cela, faites un clic droit sur la stratégie et choisissez "Attribuer".

Configurer le client-XP pour qu' il accepte les connexions Ipsec. Pour cela, activer la stratégie locale Client (Respond Only)

Importer la stratégie ipsec dans l' annuaire d' entreprise

Déployer cette nouvelle stratégie ipsec grâce à l' AD et aux GPO

D' abord, il faut exporter la stratégie sur une disquette

Vous ne pouvez pas configurer la stratégie IPSec des serveurs au même endroit que la stratégie des stations de travail (dans "Default Domain Policy"). Il faut assigner la stratégie à une OU. Pour cela, allez dans l' outil d' administration "Utilisateurs et ordinateurs Active Directory" | créez une OU | Entrez le nom "IPSEC servers" | déplacer l' objet "Windows-2003-SA" dans cet OU

Ensuite, importez la stratégie ipsec dans la GPO de l'OU "IPSEC servers", et attribuez là

Configurer la stratégie Ipsec des clients

A l'instar de ce que nous venons de faire avec le client-XP, il faut aussi attribuer la stratégie "Client (Respond Only)" pour que les stations puissent communiquer avec le serveur sensible . Cela appliquera cette stratégie à l' ensemble des stations de travail du domaine. (Les postes communiqueront sans IPSec, sauf si un serveur lui demande d' utiliser Ipsec).

Dans la default domain Policy | Naviguez jusqu' à "Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégie de sécurité IP sur Active Directory". | Faire un clic droit sur la stratégie et choisissez "Attribuer".

Enfin, pour contrôler l' utilisation d'IPSec, choisissez IPSecMon (Aller dans Démarrer| Exécutez | tapez ipsecmon). Vous pouvez aussi reniflez les paquets entre les machines grâce à netmon.

J' ai trouvé sur la toile un GUI pour tester vos firewalls et le service SMTP.

Cet outil n' a pour seule vocation que de vous aider à lutter contre ces attaques pour améliorer vos procédures de défenses ( et non l' inverse!).

Il s' agit juste de remplacer la commande telnet avec des fonctionnalités plus intéressantes, tel que l' envoi d' un faux virus (eicar.com), d' un spam, d' un mp3 renommé etc.

 

Et Voici le résultat sur un message.

Je trouve l' outil assez pratique, cela permet de créer un certain nombre de messages au contenu différent.

Note: Si vous avez un antivirus sur votre PC ( je l' espère pour vous ) vous pourrez avoir quelques petites difficultés à l' utiliser ou à envoyer des fichiers eicar.

Voici le site de son auteur. Le fichier se trouve sur mon dossier public ici