SSH SECURISE

PREREQUIS 

 2 machines linux sur le même réseau avec un accés sur internet 

 Partie 1 Installation 

 Dans cette partie nous allons vérifier que le serveur SSH est bien installé : 

 Vérifier si le serveur est installé : 

 root@deb11-cours1:~# dpkg -l openssh-server

Souhait=inconnU/Installé/suppRimé/Purgé/H=à garder

| État=Non/Installé/fichier-Config/dépaqUeté/échec-conFig/H=semi-installé/W=attend-traitement-déclenchements

|/ Err?=(aucune)/besoin Réinstallation (État,Err: majuscule=mauvais)

||/ Nom Version Architecture Description

+++-==============-=================-============-=================================================================

ii openssh-server 1:8.4p1-5+deb11u1 amd64 secure shell (SSH) server, for secure access from remote machines

root@deb11-cours1:~#

 

 Si le serveur n'est pas installé alors : 

 apt install openssh-server

 

 Une fois installé vous pouvez tenter de vous y connecter avec le user que vous avez créé au départ pour ma part c'est kvega : 

 ssh kvega@192.168.21.200  ✔  10217  08:33:36

kvega@192.168.21.200's password: 

Linux deb11-cours1 5.10.0-19-amd64 #1 SMP Debian 5.10.149-2 (2022-10-21) x86_64

The programs included with the Debian GNU/Linux system are free software;

the exact distribution terms for each program are described in the

individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent

permitted by applicable law.

Last login: Tue Nov 8 08:32:48 2022 from 192.168.21.1

kvega@deb11-cours1:~$

 

 A cette étape nous pouvons nous connecter sur le premier serveur. 

 Partie 2 Connection entre les deux serveurs en SSH 

 Dans cette partie nous verrons comment faire communiquer deux serveurs en SSH sans avoir a taper le mot de passe 

 Revenir a la PARTIE 1 et vérifier que sur l'autre serveur SSH est bien installé 

 Générer une paire clés sur le serveur 1 

 

 Pour les besoin du TP il faudrat être root sur le serveur. 

 

 root@deb11-cours1:~# ssh-keygen -t ed25519

Generating public/private ed25519 key pair.

Enter file in which to save the key (/root/.ssh/id_ed25519): 

Created directory '/root/.ssh'.

Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /root/.ssh/id_ed25519

Your public key has been saved in /root/.ssh/id_ed25519.pub

The key fingerprint is:

SHA256:rcrV5tIU6L4ZNEOGDF9Wom9M2YMEoEsBSTb/dDDOwRU root@deb11-cours1

The key's randomart image is:

+--[ED25519 256]--+

|o*. +=oE*.. |

|o ooo=+* = |

| o. +=.*.o |

| . .o .*.... |

| . . .S .. |

| o.=. |

| .+oo |

| . oo=. |

| o oo. |

+----[SHA256]-----+

 

 Il faut tout laisser par défault et ne pas mettre de mot de passe: Quand il est demandé simplement taper ENTER. 

 Permettre la connection avec le user root sur le serveur B 

 root@deb11-cours2:~# grep PermitRootLogin /etc/ssh/sshd_config

#PermitRootLogin prohibit-password

# the setting of "PermitRootLogin without-password".

 

 Sur le serveur on vois que le fichier de configuration du serveur SSH ne permet pas la connexion au serveur via l'utilisateur ROOT. Pour lui donner accès nous allons donc devoir autoriser l'utilisateur root à se connecter : 

 root@deb11-cours2:~# sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin yes/g' /etc/ssh/sshd_config

root@deb11-cours2:~# grep PermitRootLogin /etc/ssh/sshd_config

PermitRootLogin prohibit-password

 

 On reload le service SSH 

 service ssh reload

 

 Tenter une connexion du serveur A au serveur B: 

 root@deb11-cours1:~# ssh root@192.168.21.201

root@192.168.21.201's password: 

Linux deb11-cours2 5.10.0-19-amd64 #1 SMP Debian 5.10.149-2 (2022-10-21) x86_64

The programs included with the Debian GNU/Linux system are free software;

the exact distribution terms for each program are described in the

individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent

permitted by applicable law.

Last login: Tue Nov 8 08:16:03 2022

root@deb11-cours2

 

 On vois que la connexion se fait bien. Nous allons donc pouvoir partager la clé ssh du serveur A au serveur B. 

 partage de clé ssh 

 root@deb11-cours1:~# ssh-copy-id root@192.168.21.201

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_ed25519.pub"

/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed

/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys

root@192.168.21.201's password: 

Number of key(s) added: 1

Now try logging into the machine, with: "ssh 'root@192.168.21.201'"

and check to make sure that only the key(s) you wanted were added.

 

 La clé ssh Publique vient d'être copier. on peut s'en rendre compte en se rendant sur le serveur B et en regardant dans le fichier /root/.ssh/authorized_keys que notre clé est bien présente. Sur le serveur A: 

 root@deb11-cours1:~# cat /root/.ssh/id_ed25519.pub 

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFEE2zBCapNve8gCCRR7xV7PzinFjckSi8iOb+corG4M root@deb11-cours1

 

 Sur le serveur B: 

 root@deb11-cours2:~# cat /root/.ssh/authorized_keys 

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFEE2zBCapNve8gCCRR7xV7PzinFjckSi8iOb+corG4M root@deb11-cours1

 

 Une fois la connexion établie il faudrat resécuriser le serveur B : 

 root@deb11-cours2:~# sed -i 's/PermitRootLogin yes/#PermitRootLogin yes/g' /etc/ssh/sshd_config

root@deb11-cours2:~# grep PermitRootLogin /etc/ssh/sshd_config

#PermitRootLogin yes

# the setting of "PermitRootLogin without-password".

root@deb11-cours2:~# service ssh reload 

 

 Répeter la partie 2 sur le serveur A 

 Tester si la connexion se fait bien sans mot de passe: 

 Créer un fichier sur le serveur B 

 root@deb11-cours2:~# touch toto

 

 Envoyer le fichier sur le serveur A 

 scp toto root@192.168.21.200:/root/

 

 Vérifier sur le serveur A que le fichier s'y trouve bien 

 root@deb11-cours1:~# cd /root

root@deb11-cours1:~# ls

toto

 

 On peut aussi se connecter en ssh du serveur A au serveur B et inversement pour tester : 

 ssh root@192.168.21.201

Linux deb11-cours2 5.10.0-19-amd64 #1 SMP Debian 5.10.149-2 (2022-10-21) x86_64

The programs included with the Debian GNU/Linux system are free software;

the exact distribution terms for each program are described in the

individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent

permitted by applicable law.

Last login: Tue Nov 8 08:57:01 2022 from 192.168.21.200

root@deb11-cours2:~#

 

 Aucun mot de passe ne m'a été demandé. 

 EXRECICE 

 créer un script qui envoie un fichier vers le serveur distant Ex de script : 

 #!/bin/bash 

test=$(ping -c1 8.8.8.8)

if [ $? -eq 0 ]

then

 echo "c'est super !!"

 #Je verifie que le fichier toto existe si oui

 #je l'envoie

 #sinon je le créer

else

 echo "ça marche pas !!"

fi

 

 Partie 3 sécurisation de SSH sur le réseau 

 On va changer le port d'écoute du serveur SSH 

 root@deb11-cours2:~# sed -i 's/#Port 22/Port 2222/g' /etc/ssh/sshd_config

root@deb11-cours2:~# service ssh restart 

root@deb11-cours2:~# netstat -lntp

Connexions Internet actives (seulement serveurs)

Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name 

tcp 0 0 0.0.0.0:2222 0.0.0.0:* LISTEN 633/sshd: /usr/sbin 

tcp6 0 0 :::2222

 

 Ne pas oublier de changer le script en spécifiant le bon port. 

 Partie 4 test avec KALI et attaque brutte force 

 Installer Kali 

 Télécharger Kali https://www.kali.org/get-kali/#kali-virtual-machines

 le mot de passe et le User par défaut de kali sont : User: kali Mdp: kali 

 

 On va mettre à jour le clavier dans Kali pour le metre en français: 

 sudo dpkg-reconfigure keyboard-configuration

#laisser par défaut

#choisir Other et choisir french

#tout laisser par défaut

reboot

 

 On va mettre à jour kali: 

 sudo apt update

sudo apt upgrade 

sudo apt install open-vm-tools

 

 tester le Réseau avec Kali 

 On va tester les IP/Hosts présent sur le réseau: 

 nmap -sP 192.168.21.0/24

Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-14 04:22 EST

Nmap scan report for fr-lap10398 (192.168.21.1)

Host is up (0.00035s latency).

Nmap scan report for 192.168.21.2

Host is up (0.00036s latency).

Nmap scan report for 192.168.21.132

Host is up (0.000092s latency).

Nmap scan report for 192.168.21.200

Host is up (0.00026s latency).

Nmap scan report for 192.168.21.201

Host is up (0.00023s latency).

Nmap done: 256 IP addresses (5 hosts up) scanned in 2.98 seconds

 

 On va scanner chaque IPs sur le réseau: 

 nmap -sV 192.168.21.201

Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-14 04:27 EST

Nmap scan report for 192.168.21.201

Host is up (0.00028s latency).

Not shown: 999 closed tcp ports (conn-refused)

PORT STATE SERVICE VERSION

2222/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 0.51 seconds

 

 Dans un premier temps, sur l'un des deux serveurs SSH, analyser le cache ARP respectif des deux machines à l’aide de la commande (pour avoir des informations dans la cache arp, vous devrez peut-être au préalable lancer un ping sur chaque machine présente dans le réseau ou relancer les commandes nmap) : Voici mon résultat: 

 ip neigh show

192.168.21.1 dev ens160 lladdr 00:50:56:c0:00:08 REACHABLE

192.168.21.2 dev ens160 lladdr 00:50:56:fd:96:81 REACHABLE

192.168.21.132 dev ens160 lladdr 00:0c:29:76:db:c7 STALE

 

 Sur Kali, à l’aide de l’outil Metasploit, On va brut forcer le mot de passe d'un utilisateur: a. création d'un nouvel utilisateur sur le serveur B:

 useradd -s /bin/bash toto

 

b. Mise à jour du mot de passe de toto:

 #mettre azerty comme mot de passe a toto

passwd toto

 

c. Créer le fichier le mot de passe

 cd 

pwgen -sBn 9 24 -1 > /root/Motdepasse.txt

echo "azerty" >> /root/Motdepasse.txt

 

d. Se servir de Metasploit et le configurer: A cette étape chaque ligne est testée par chaque ligne du fichier /usr/share/wordlists/sqlmap.txt . Pour aller plus vite nous allons spécifier le User: 

 msfconsole

show options

use auxiliary/scanner/ssh/ssh_login

set RPORT 2222

set RHOSTS 192.168.21.201

set USERNAME toto

set PASS_FILE /root/Motdepasse.txt

set THREADS 4

set VERBOSE true

run

 

 Partie 5 sécurisation avec Iptables 

 

 Attention il ne faut pas faire cette étape sur le serveur qui se fait brute-forcer ! {.is-warning} 

 

 Installation de Iptables: 

 apt install iptables

 

 On peut lister les tables: 

 iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination 

Chain FORWARD (policy ACCEPT)

target prot opt source destination 

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

 

 Ajout d'une régle de filtrage Ici je vais autoriser seulement mon post sur le port 22 donc SSH de la machine 

 iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source 192.168.21.1 -p tcp --dport ssh -j ACCEPT

iptables -A INPUT -j DROP

iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination 

ACCEPT tcp -- 192.168.21.1 anywhere state NEW,RELATED,ESTABLISHED tcp dpt:ssh

DROP all -- anywhere anywhere 

Chain FORWARD (policy ACCEPT)

target prot opt source destination 

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

 

 Pour remttre Iptables à "zero" il faut: 

 iptables -F

 

 Ps: Après redémarrage à ce stade les tables ne vont pas rester en l'état. Il faudrat les remettre en place à chaque redémarrage pour le moment .