[LONGUET][MON AVIS] sécurité (was: Re: ... Je m'ronge les ongles ...)
inouk@toutatis.igt.net a écrit :
>
>
> On Thu, 17 May 2001, Christophe VINCHON wrote:
>
> > Le Thu, May 17, 2001 at 03:48:29PM -0400, inouk@toutatis.igt.net a écrit :
> > > > > > avec ipchains et ne propose plus que ssh au monde entier. Mais ceci
> >
> > Ben voyons. Pas de services réseau sur le réseau domestique : intranet,
> > mail, ftp, samba, etc. Tristounet...
> >
> > > de configurer maladivement des regles d'IPCHAINS et de flooder mes
> > > logs au point de fuller mon disque dur pour rien, d'utiliser mon CPU
> > > pour rien aussi.
> >
> > Non, pas vraiment.
> >
> > On ferme les services qu'on n'utilises pas, on utilise
> > (x)inetd/tcp-wrappers pour d'autres et on filtre les paquets, pas
> > seulement entrants, mais aussi sortants (laissons le monde en paix) avec
> > ipchains (noyau 2.2), iptable (noyau 2.4) ou ipfilter (?).
> >
> > Amicalement,
> > Christophe.
> >
>
> Wow... tu as des gros mechants de la CIA qui veulent hacker ton PC et ton
> reesau local.. ah oui, oublions pas Echelon.. ils s'interessent vraiment a
> toi!
>
> Ou je veux en venir, il y a des niveaux de protections a mettre, pkoi je
> securiserais et perdrais mon temps a configurer et a le filtrer sur un
> fichu PC qui ne sert que faire du web ?
Si tu estimes que mettre en pratique des techniques de sécurisation
d'un réeau est une perte de temps, libre à toi. Mais on apprend
beaucoup en configurant un filtre IP. L'intérêt pédagogique n'est pas
nul.
> C'est sur que, pour les gens qui ont un reseau local, le best est de ne
> pas mettre un serveur de ce que tu dis connecter a Interent, mais
> seulement un gateway qui est connecte a Internet, avec AUCUNS services
> dessus, pas telnetd, pas ftpd, ni RIEN, sauf sendmail, si tu as ton propre
> gestionnaire de courrier electronique.
J'ai deux machines chez moi, dont un portable (sous Windows pour
l'instant), et ma machine principale fait tourner pas mal de serveurs,
parce que je suis curieux, mais je n'ai pas envie de laisser une
machine assez mal configurée (car en perpétuelle évolution) à la disposition
des petits malins (petits cons, plutôt) qui passent pas là.
Et puis j'ai pas la place (ni envie) pour une machine supplémentaire.
> Alros, ou est l'interet de filtrer le telnet? le ftp? pkoi je perdrerais
> mon temps a lire les logs, pour savoir c qui les mechants qui ont tente de
> penetrer ds mon reseau.
Perso, je ne lis pas les logs, je m'en fout. Mais je préfère être
prudent. Tu sais, "prudence est mère de sûreté".
> En une phrase: il y a des niveaux de securite a savoir... pour une groses
> compagnie dont ils contiennent des e-mails, des informations
> confidentielles des clients (e-commerce), la c tres justifiable. Mais
> pour un petit reseau interne... je ne vois pas l'interet de le securiser
> au max, de sorte a limiter ses fonctionnalites....
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
euh, non, on parle d'interdire l'accès à des services que l'on veut
fournir pour son réseau. Avec un filtre, on peut très facilement (et
de manière très sûre) fournir du ftp en interne et rien pour
l'extérieur.
> Mon reseau, il n'est pas filtre, il n'est pas protege au max, et il runne
> telnetd, il runne ftpd, et il runne sendmail ainsi que pop3d, et bien sur,
> sshd. Oh, ce sont pas des services que j'ai ouverts pour le fun, mais que
> j'en ai besoin.
Moi aussi, j'ai un beau ftpd et sendmail, mais pas pour les gens de
dehors. A ton avis, la machine de chez Wanadoo qui spamme la liste,
elle était protégée ?
> Pour les exploits de bufferoverflows, aucun ne peux proteger contre ca,
> meme pas ipchains.
Faux. les filtres empêchent de se connecter au service, par
conséquent, l'accès aux exploits n'est pas possible.
> Il suffit donc de se tenir au courant et de s'abonner
> aux mailinlists de securiter (en particulier debian-security) et de faire
> des updates appropries.
Oui.
> Pour fini, et pour clore le troll, tu as raison qu'il faut securiser, mais
> pas au moins d'en faire une paranoia a la CIA, il faut savoir faire des
> compromis.
Mais pourquoi faire un compromis ? Tes données ne sont pas aussi
précieuses que celles d'une banque ? Quel manque de considération. Sur
ma machine, y'a plein de petits programmes que j'ai fait, des docs,
des textes, des graphismes, etc... J'estime que c'est plus important
que le contenu des serveurs du Crédit Lyonnais (par exemple). C'est sûr,
y'a moins de monde interressé, mais si je les perdais, ça me ferait
pas plaisir.
De plus, "sécurité" et "compromis" ne vont pas très bien ensemble.
Faut un juste milieu, certes, et la config que j'ai chez moi (tout
bloquer de l'extérieur sauf ssh, laisser tourner des services sur la
machine qui est directement connectée à Internet) n'est pas exagérée
ni saugrenue. C'est le minimum de sécurité acceptable.
> Au fait, ou est l'interet de filtrer les packets sortants, quand c moi et
> ma famille qui se servent des ordinateurs? a part de savoir que quelques
> un de mes freres qui font du web-porn de temps en temps... pourquoi je
> filtrerais les packets sortants?
Euh, filtrer, bloquer, pas capturer et analyser... Tu t'embrouilles on
dirait.
> D'autant plus que, ds le reseau local, ya des postes windows... je
> verrais mal comment il peut entrer, a partir du gatway, ds les postes
> windows qui n'ont meme pas de shell....
Un partage mal foutu et le monde entier dispose de "Tes Documents"
(dans la mesure où une machine Windows est directement connectée à
Internet, ce qui n'est pas le cas chez toi).
> Alors, si tu es si paranoiaque, achete un autre pC, un 486 qui sera
> connecte a internet, et tu mettras juste sendmail + sshd, et ton P166 a
> l'interne qui roulera tous les services :)
Si tu me payes le loyer pour un appartement plus grand avec une salle
insonorisée, je m'installe des serveurs dédiés, promis.
> Donc, OUI il y a des methodes de securisation. Il n'y en a pas juste une.
Oui, il y a plusieurs méthodes, c'est à dire _manières_ de sécuriser.
Mais (pour finir avec une grande phrase) : la solidité de toute la
chaîne est celle du maillon le plus faible.
Pas de paranoïa, des précautions.
--
Charles
Il n'y a que de sots métiers
Reply to: