Re: HS Politique de sécurité pour un particulier
steve, vendredi 20 mars 2009, 15:25:07 CET
>
> > Bonjour à tous,
>
> Salut,
’soir,
> Tout fermer sauf ce qui est nécessaire.
Ceinture _et_ bretelles _et_ je reste assis :
— sur un routeur :
— pare-feu bloquant toute entrée, sauf un ssh NATé (ailleurs
qu’en 22, sinon les logs…), IPv4 et IPv6 ;
— ses services ne sont ouverts qu’à l’intérieur ;
— wifi en wpa2 ;
— sur un PC fixe (derrière le routeur donc) :
— le PC lui-même n’a que les services utiles ouverts (donc, en
général, ssh par clef, interdit à root, un httpd, et parfois
quelques autres services) ;
— un pare-feu (IPv4+6) sur le PC (on ne sait jamais, le
routeur peut avoir un pépin, on peut devoir le remplacer par
un non encore sécurisé…) ;
— sur un portable (qui se promène) :
— pare-feu (IPv4+6 toujours) ;
— seulement ssh (par clef toujours) ;
— les autres services ne sont lancés que ponctuellement et
manuellement/volontairement.
Bon, je devrais peut-être aussi passer des anti-viraux sur les
courriels (p.ex. avec p3scan/clamav sur le routeur)…
J’ai quand même noté que :
— les interfaces graphiques censées aider la mise en place d’un
pare-feu sont franchement peu accessibles : c’est quasiment
plus facile de passer par un script (il faut les mêmes
connaissances et on n’est pas perdu dans un clicodrome) ;
— très peu des scripts / exemples de pare-feu s’intéressent à
l’IPv6, ce qui va vite poser un problème : si le particulier
lambda est souvent derrière un NAT IPv4 protecteur (box ou
routeur en sus), il est beaucoup plus exposé en IPv6…
--
Sylvain Sauvage
Reply to: