Re: ... Je m'ronge les ongles ...
On Thu, 17 May 2001, Christophe VINCHON wrote:
> Le Thu, May 17, 2001 at 03:48:29PM -0400, inouk@toutatis.igt.net a écrit :
> > > > > avec ipchains et ne propose plus que ssh au monde entier. Mais ceci
>
> Ben voyons. Pas de services réseau sur le réseau domestique : intranet,
> mail, ftp, samba, etc. Tristounet...
>
> > de configurer maladivement des regles d'IPCHAINS et de flooder mes
> > logs au point de fuller mon disque dur pour rien, d'utiliser mon CPU
> > pour rien aussi.
>
> Non, pas vraiment.
>
> On ferme les services qu'on n'utilises pas, on utilise
> (x)inetd/tcp-wrappers pour d'autres et on filtre les paquets, pas
> seulement entrants, mais aussi sortants (laissons le monde en paix) avec
> ipchains (noyau 2.2), iptable (noyau 2.4) ou ipfilter (?).
>
> Amicalement,
> Christophe.
>
Wow... tu as des gros mechants de la CIA qui veulent hacker ton PC et ton
reesau local.. ah oui, oublions pas Echelon.. ils s'interessent vraiment a
toi!
Ou je veux en venir, il y a des niveaux de protections a mettre, pkoi je
securiserais et perdrais mon temps a configurer et a le filtrer sur un
fichu PC qui ne sert que faire du web ?
C'est sur que, pour les gens qui ont un reseau local, le best est de ne
pas mettre un serveur de ce que tu dis connecter a Interent, mais
seulement un gateway qui est connecte a Internet, avec AUCUNS services
dessus, pas telnetd, pas ftpd, ni RIEN, sauf sendmail, si tu as ton propre
gestionnaire de courrier electronique.
Puis encore la, avec sendmail, suffit de la barrer, et de le servir comem
un relay entre le gateway et le serveur interne.
Alros, ou est l'interet de filtrer le telnet? le ftp? pkoi je perdrerais
mon temps a lire les logs, pour savoir c qui les mechants qui ont tente de
penetrer ds mon reseau.
En une phrase: il y a des niveaux de securite a savoir... pour une groses
compagnie dont ils contiennent des e-mails, des informations
confidentielles des clients (e-commerce), la c tres justifiable. Mais
pour un petit reseau interne... je ne vois pas l'interet de le securiser
au max, de sorte a limiter ses fonctionnalites....
Mon reseau, il n'est pas filtre, il n'est pas protege au max, et il runne
telnetd, il runne ftpd, et il runne sendmail ainsi que pop3d, et bien sur,
sshd. Oh, ce sont pas des services que j'ai ouverts pour le fun, mais que
j'en ai besoin.
J'ai eu evidemment des tentatives (surtout du scan), j'avais vu cela en
m'amusant avec tcpdump... et je m'en fous comme l'an 40. Comment tu veux
qu'il trouve mon username/passowrd.. surtout un pass de 8 chiffres qui
n'est aps dans le dicotnnaire.
Pour les exploits de bufferoverflows, aucun ne peux proteger contre ca,
meme pas ipchains. Il suffit donc de se tenir au courant et de s'abonner
aux mailinlists de securiter (en particulier debian-security) et de faire
des updates appropries.
Pour fini, et pour clore le troll, tu as raison qu'il faut securiser, mais
pas au moins d'en faire une paranoia a la CIA, il faut savoir faire des
compromis.
Au fait, ou est l'interet de filtrer les packets sortants, quand c moi et
ma famille qui se servent des ordinateurs? a part de savoir que quelques
un de mes freres qui font du web-porn de temps en temps... pourquoi je
filtrerais les packets sortants?
D'autant plus que, ds le reseau local, ya des postes windows... je
verrais mal comment il peut entrer, a partir du gatway, ds les postes
windows qui n'ont meme pas de shell.... le pire qu'il peut m'arriver,
c'est qu'ils supprime tout ds mon gateway. Ceci, je m'en fais pas.. j'ai
des backups, et ca me prends pas de temps a tout restaurer... :)
Alors, si tu es si paranoiaque, achete un autre pC, un 486 qui sera
connecte a internet, et tu mettras juste sendmail + sshd, et ton P166 a
l'interne qui roulera tous les services :)
Donc, OUI il y a des methodes de securisation. Il n'y en a pas juste une.
Reply to: