J'ai presque la même config que toi, j'utilise OpenVPN en UDP sur le réseau Free Mobile depuis mon linux en partage de connexion.
J'ai eu aussi pas mal de problèmes à le faire fonctionner, et j'en suis arrivé à la conclusion que c'est la découverte du MTU qui pose problème et donc OpenVPN envoi des paquets trop gros pour le réseau, qui les DROP tout simplement.
Donc il faut que tu ajoutes "mssfix 1300" à ta conf client, ainsi OpenVPN va indiquer aux connexions TCP dans le tunnel de limiter la taille des paquets pour que les paquets UDP envoyés par OpenVPN ne dépassent pas 1300 bytes.
Ainsi les protocoles TCP devraient fonctionner sans problème.
Pour faire passer de l'UDP dans le tunnel (VOIP…), il faut jouer avec "fragment" mais attention l'option est violente (cf. man openvpn). Je ne l'ai pas mis en place sur ma config, principalement car il faut aussi mettre "fragment" dans la conf serveur aussi et donc je crois que cela s'applique à tous les clients, et que j'utilise pas de protocole UDP dans le tunnel…
J'en profite pour parler du keepalive avec un openvpn en 3G : quand on change d'antenne, l'IP change, comment OpenVPN gère ça ?
Il me semble qu'il "reload" après un timeout lié au keepalive ?
Bref, j'espère que cela t'aide.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
Ok, en fait c'est un hotfix envoyé par Mozilla pour désactiver temporairement la liste anti-malware à cause d'une charge trop importante de leurs serveurs.
Cf. https://bugzilla.mozilla.org/show_bug.cgi?id=985627
Bug 985627 - A hotfix to temporarily turn off malware blocklist and
allowlist, as they were causing higher loads on the servers than expected.
Rolled out to Firefox 27.0 - 28.*.
Mystère résolu ! ;)
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
Si le boot est compromis et que donc il peut récuperer la passphrase, alors il peut aller changer le code qui vérifie le checksum.
Supposons que le système B est compromis, il va alors infecter le boot du système A. Quand je vais démarrer le système A, je vais avoir une alerte que le checksum ne correspond pas. Dans ce cas, si je ne redémarre pas le système B, l'attaquant ne pourra pas récupérer ma passphrase ?
Alors que si je n'ai pas d'alerte, l'attaquant à juste à attendre que je démarre le système B pour récupérer la passphrase, déchiffrer la partition depuis le système B et récupérer les données.
La bonne solution c'est le secure boot
Le secure boot fonctionne avec des CA racine non ? Si une autorité de "confiance" est piratée, ou que le bios accepte le CA de la NSA (au hasard), alors il suffit à l'attaquant de signer son initrd vérolé et le boot passera sans problème.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
dd if=/dev/sda bs=512 count=4096 | sha512sum
On fait un checksum du MBR, de la table de partition GPT, et de la BIOS Boot partition. [ MBR-----table_de_partition_GPT-----BIOS_Boot_partition ] -----/boot-----luks
Avec entre crochets ce qui est lu par dd et vérifié par sha512sum.
Ces secteurs ne sont pas censés changer, ou alors dans le cas d'un grub-install ?
Et le deuxième checksum est uniquement au niveau des fichiers.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
Je vais tester KVM dans les prochains jours, je pense aussi que c'est la solution la plus adaptée. le but n'est pas de faire du jeu donc pas de problème de performances.
Concernant la sécurité, tu as déjà entendu parler de logiciels capables d'accéder au système hôte à travers KVM ?
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
Oui tous les OS sont des Linux, Fedora pour l'hôte, et Fedora, Archlinux et Debian pour les invités.
Je pense que je vais me tourner vers la virtualisation, plus souple et mieux isolé.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
[^] # Re: mssfix
Posté par Florent . En réponse au message Configuration OPENVPN en UDP sur connexion FreeMobile. Évalué à 2.
Merci pour l'explication.
A priori le fonctionnement de --float avec TLS est assez récent, en tout cas c'est une option bien pratique.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
# mssfix
Posté par Florent . En réponse au message Configuration OPENVPN en UDP sur connexion FreeMobile. Évalué à 4.
J'ai presque la même config que toi, j'utilise OpenVPN en UDP sur le réseau Free Mobile depuis mon linux en partage de connexion.
J'ai eu aussi pas mal de problèmes à le faire fonctionner, et j'en suis arrivé à la conclusion que c'est la découverte du MTU qui pose problème et donc OpenVPN envoi des paquets trop gros pour le réseau, qui les DROP tout simplement.
Donc il faut que tu ajoutes "mssfix 1300" à ta conf client, ainsi OpenVPN va indiquer aux connexions TCP dans le tunnel de limiter la taille des paquets pour que les paquets UDP envoyés par OpenVPN ne dépassent pas 1300 bytes.
Ainsi les protocoles TCP devraient fonctionner sans problème.
Pour faire passer de l'UDP dans le tunnel (VOIP…), il faut jouer avec "fragment" mais attention l'option est violente (cf. man openvpn). Je ne l'ai pas mis en place sur ma config, principalement car il faut aussi mettre "fragment" dans la conf serveur aussi et donc je crois que cela s'applique à tous les clients, et que j'utilise pas de protocole UDP dans le tunnel…
J'en profite pour parler du keepalive avec un openvpn en 3G : quand on change d'antenne, l'IP change, comment OpenVPN gère ça ?
Il me semble qu'il "reload" après un timeout lié au keepalive ?
Bref, j'espère que cela t'aide.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
# Résolu grâce au screenshot
Posté par Florent . En réponse au message Firefox et "désactivation temporaire de la liste anti-malware". Évalué à 4.
Ok, en fait c'est un hotfix envoyé par Mozilla pour désactiver temporairement la liste anti-malware à cause d'une charge trop importante de leurs serveurs.
Cf. https://bugzilla.mozilla.org/show_bug.cgi?id=985627
Et https://bug985627.bugzilla.mozilla.org/attachment.cgi?id=8393741
Mystère résolu ! ;)
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
[^] # Re: pas suffisant
Posté par Florent . En réponse au message Checksum de la partition /boot. Évalué à 1.
Supposons que le système B est compromis, il va alors infecter le boot du système A. Quand je vais démarrer le système A, je vais avoir une alerte que le checksum ne correspond pas. Dans ce cas, si je ne redémarre pas le système B, l'attaquant ne pourra pas récupérer ma passphrase ?
Alors que si je n'ai pas d'alerte, l'attaquant à juste à attendre que je démarre le système B pour récupérer la passphrase, déchiffrer la partition depuis le système B et récupérer les données.
Le secure boot fonctionne avec des CA racine non ? Si une autorité de "confiance" est piratée, ou que le bios accepte le CA de la NSA (au hasard), alors il suffit à l'attaquant de signer son initrd vérolé et le boot passera sans problème.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
[^] # Re: que ca pourrait le faire "mais"...
Posté par Florent . En réponse au message Checksum de la partition /boot. Évalué à 1.
C'est le cas non ?
dd if=/dev/sda bs=512 count=4096 | sha512sumOn fait un checksum du MBR, de la table de partition GPT, et de la BIOS Boot partition.
[ MBR-----table_de_partition_GPT-----BIOS_Boot_partition ] -----/boot-----luksAvec entre crochets ce qui est lu par dd et vérifié par sha512sum.
Ces secteurs ne sont pas censés changer, ou alors dans le cas d'un
grub-install?Et le deuxième checksum est uniquement au niveau des fichiers.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
[^] # Re: Ca existe déjà tout prêt
Posté par Florent . En réponse au message Deux systèmes d'exploitation isolés sur une même machine hôte. Évalué à 0.
Intéressant, ça se rapproche beaucoup de mon idée. Merci !
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
[^] # Re: virtualisation
Posté par Florent . En réponse au message Deux systèmes d'exploitation isolés sur une même machine hôte. Évalué à 0.
Je veux dire un trojan qui arriverait à accéder au système de fichiers voire aux processus de la machine hôte.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
[^] # Re: virtualisation
Posté par Florent . En réponse au message Deux systèmes d'exploitation isolés sur une même machine hôte. Évalué à -1.
Je vais tester KVM dans les prochains jours, je pense aussi que c'est la solution la plus adaptée. le but n'est pas de faire du jeu donc pas de problème de performances.
Concernant la sécurité, tu as déjà entendu parler de logiciels capables d'accéder au système hôte à travers KVM ?
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
[^] # Re: virtualisation
Posté par Florent . En réponse au message Deux systèmes d'exploitation isolés sur une même machine hôte. Évalué à 0.
Oui tous les OS sont des Linux, Fedora pour l'hôte, et Fedora, Archlinux et Debian pour les invités.
Je pense que je vais me tourner vers la virtualisation, plus souple et mieux isolé.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds