Tous les articles par Alexandre

Sécurité – Les demandes de certificats trahissent votre infrastructure

cloud, Non classé, Sécurité, Système, Technos, , , , ,

Comment les demandes de certificats peuvent trahir la structure publique et privée de votre infrastructure.

La sécurisation des communications est une réelle avancée dans l’amélioration de la vie privée.

Aujourd’hui les certificats ACME fournis par Let’s Encrypt ou ZeroSSL représentent la majorité des certificats utilisés dans le monde. Les statistiques le montre.

Cependant peu de gens savent ou prennent en compte que ces demandes sont publiques.

Et Alors ?

Un exemple

https://crt.sh/?q=voila.fr

Vous y verrez par exemple pour le site voila.fr possède des sous admin vip, etc, certains en wildcard ou ne répondant plus.

Même constat avec orange.fr par exemple.

Vous me direz, ou est le problème ?

Il est simple, vous informez la terre entière que vous avez un service nommé par exemple billing.stagingrealdata.macompagnie.fr , ce service est une cible privilégié.

Pourquoi ?

  • Ce service est peut-être en développement, vous ne voulez pas forcément communiquer dessus
  • La sécurité de ce service, n’est pas forcément parfaite, par exemple il peut avoir des comptes de test plutôt génériques avec des mots de passe très sommaire.
  • être non maintenu
  • être seulement accessible en interne, mais donne tout de même l’architecture de votre infrastructure alors que vous pensiez l’avoir protégée et cachée derrière un wildcard dns fictif.
  • et je vous laisse chercher les autres raisons.

Conclusion

A l’aire du Zero Trust, ce n’est pas grave en soit, mais ajoute une menace supplémentaire.

Bien-sûr tout ça va également dans le bon sens.

Référence et notes

https://github.com/SSLMate/certspotter/

Rancher 2.6 et docker-compose

cloud, docker, ,

En complément de Certificat Let’s Encrypt sur réseau local qui montre comment centraliser une génération privée de certificat, pour Kubernetes, voici un article sur comment monter un homelab simplement avec Rancher et docker-compose.

+

Docker-compose vs Kubernetes

Pourquoi Docker-compose plutôt que Kubernetes? Pour une question de ressource.

Rancher est très gourmand si en plus vous rajoutez Kubernetes votre micro serveur ou raspberry pi va tomber. il faudra déjà compter minimum 2 cpu et 4go de ram.

Enfin, c’est du test, donc du jetable.

Comment

Ci-dessous un docker-compose.yml reprenant l’exercice.

Vous y trouverez:

  • Traefik en tant que gateway et générateur de certificat ssl DNS-01 avec ici le provider Namecheap
  • Rancher en version stable
  • whoami pour tester la génération de certificat

Détails

Il y a plusieurs subtilités,

Rancher 2 impose le ssl à son niveau, donc vous devez pouvoir faire:

Browser ↔️ ssl let’s encrypt ↔️ Traefik ↔️ ssl (let’s encrypt ou pas) ↔️ rancher

Dans notre cas, avec docker-compose avec Traefik et sans accès public au serveur seul un certificat auto-signé au niveau rancher est possible. Il faut donc passer à –serverstransport.insecureskipverify=true.

Et enfin toute la partie label permettant de faire du proxy passthrough.

Tips

     profiles:
      - donotstart

Permet de gérer des profiles d’execution dans docker-compose, dans notre cas il nous permet surtout de ne pas executer directement whoami, de l’ignorer.

 restart: always

Attention, L’option restart ne marche que avec l’executable docker-compose (ici en 2.12), pas avec le plugin docker.

Nativescript 6 with Angular 10

Non classé

[Reminder] With Nativescript 7 released, this article is now meaningless.

Sources:

As of August 28, 2020, standard installation produce an angular 8 application.

The purpose of this article is to generate a functional application with angular 10.

Install NativeScript release candidate

npm i -g [email protected]

Generate a hello-world application

nsc create sampleapp –template @nativescript/template-hello-world-ng

use SASS by default

  1. install node-sass : 
    npm i --save-dev node-sass
  2. rename app.css in app.scss
  3. replace in app.scss :
@import "[email protected]/theme/css/core.css";
@import "[email protected]/theme/css/default.css";

by

@import "[email protected]/theme/core";
@import "[email protected]/theme/default";
  1. change in angular.son 
{
  "$schema": "./node_modules/@angular/cli/lib/config/schema.json",
  "version": 1,
  "newProjectRoot": "projects",
  "cli": {
    "defaultCollection": "@nativescript/schematics"
  },
  "projects": {
    "hello-world": {
      "root": "",
      "sourceRoot": "src",
      "projectType": "application",
      "prefix": "ns",
      "schematics": {
        "@nativescript/schematics:component": {
          "style": "scss"
        }
      }
    }
  },
  "defaultProject": "hello-world"
}

Add a login page

ng generate component login
ng generate service services/user
ng generate class models/user --type=model

Test your application

nsc run ios –emulator