[DOW] La sécurité informatique : comment la gérez-vous ?

[sd44]

salut !

je me permet d'orienter ce post sécurité vers le monitoring des logs (et perf ?)

je suis interressé si vous avez des progs sympa pour centraliser les log et autres(perf, graphique, etc), car l'idée vous l'aurez compris c'est d'avoir une machine sur le réseau qui surveille un peu tout ça (genre un petit ecran a coté de soi)

any idéa ?
_________________
Pourquoi faire simple quand on peut faire compliqué ?

[sd44]

up

personne centralise ses logs ? ou monitoring ?
_________________
Pourquoi faire simple quand on peut faire compliqué ?

[nico_calais]

J'ai une machine qui fait un peu ça au taf...Elle se trouve sur un port du coeur de réseau qui est mis en monitoring.

Sur la machine, y a un ntop qui tourne. Il permet d'avoir une vue très générale du traffic qui passe ainsi que les machines qui ont emis ce traffic. Cela a permis de connaitre les heures, ainsi que les jours de pointe au niveau du traffic réseau. On a aussi pu diminiuer tout ce qui etait multicast, particulierement emis par nos imprimantes réseau. Un très bon outil pour savoir ce qui se passe sur son réseau.

Y a bien entendu un nagios (oreon) qui lui va plus se concentrer sur les serveurs et services les plus importants. En plus de donner l'etat actuel de ces derniers, il donne aussi pas mal de graphs interessants.

Pour parler plus de securité à proprement dit, il y a snort avec base pour un accès web. J'y mettrai pas ma main au feu. Bien que j'ai essayé de configurer snort au mieux, j'ai quand même peu d'experience là dessus. Mais ça fonctionne. ça m'est déjà arrivé de scanner certains serveurs, voir faire un ptit audit grandeur nature à coup de nessus et snort a clairement reperré les scans.

Il y a aussi un wireshark (obligé) pour sniffer tout le traffic réseau...ça a entre autres permis de voir qu'un prestatiaire faisait tournait un ftp dans le vide sur le serveur d'un autre prestataire. C'etait en fait un test de liaison mais moi, j'etais pas au courant...Cela m'a aussi ouvert les yeux à quel pint beaucoup d'applications ne securisaient pas l'envoi de leurs données...Sinon, cela permet aussi de voir pas à pas le traffic d'une machinne à un serveur par exemple afin d'essayer de déterminer s'il y a un pb réseau ou autre.

Il y a enfin des outils à la con comme nmap pour scanner une machine dont on pourrait avoir un "doute", nbtscan qui scanne les machines utilisant le protocole netbios et nous fait une belle petite liste avec le nom du user, le nom de la machine et l'addresse IP.


Le monitoring concerne surtout les 3 premiers points...
Sinon pour les logs, la solution toute bête dans un premier temps serait d'avoir quelques terminaux sur un bureaux connectés au(x) serveur(s) important(s) avec coup de tail -f etc...
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no

[technick]

Bonjour à tous,

A vous lire je me rend compte du chemin qu'il me reste à parcourir sous linux, neanmoins je me permets de vous signaler que la securité informatique c'est aussi :

La securité physique des machines (porte fermée, systeme anti incendie, clim, etc...)
La securité physique des données (raid 5)
La securité logique des données (sauvegardes regulières, eloignement physique des sauvegardes)
La securité sur les alimentations electriques, des lignes de transmisions, etc..

ET un plan en cas de sinistre (impact, couts, etc...)


Bref, iptable ou pas, un vol du serveur est tout aussi possible qu'un vol de données

JCB (un autre

[sd44]

merci nico de ta reponse

j'ai installer ntop recement et ca a l'air pas mal, moi j'utilise surtout autoscan (http://autoscan.fr) pour voir tout les poste de mes different reseaux d'un click ainsi que les ports ouverts sur les machie etc, autoscan comporte aussi un client nessus et samba.
autoscan a aussi une fonction de notification pour savoir en permanance si une machine s'eteind et une fonction alerte anti-intrusion pour detecter les machines nouvelle qui se brancherai sur le reseau ...

niveau des logs je me tate pour essayer syslog en reseau et centraliser mes log sur une machine special
_________________
Pourquoi faire simple quand on peut faire compliqué ?

[gglaboussole]

[nico_calais]

Je vais matter ça tiens


Je n'y avais pas pensé sur le coup, mais pourquoi ne pas utiliser aussi des gkrellms ou conky que l'on affiche sur un ecran dedié à coup de ssh -X
Je pense que c'est faisable chez soi où le nombre de machine est généralement restreint. ça l'est peut être moins en prod surtout selon la criticité des machines où l'on va peut être pas installer trop de caca
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no

[geekounet]

Plutôt que faire des SSH sur les machines à surveiller, le mieux est quand même de centraliser les logs en réseau par syslog-ng vers une machine dédiée, et monitorer avec celle là. Tu duplique aussi vers la tienne, et comme ça, plus besoin des SSH et tout.
Après pour surveiller les machines, je préfère plutôt un rapport journalier (qui pourrai être plus fréquent) sur ce tout ce qui a bougé sur la machine en 24h J'ai découvert que la FreeBSD a de base une série de scripts qui font tout ça (periodic), et c'est bien pratique Je reçois 2 mails de rapport chaque soir qui m'indiquent l'état des disques, du réseau, du firewall, les tentatives ratées de login, les modifications des fichiers /etc/passwd et /etc/group, les fichiers en u+s supplémentaires, les failles de sécu découverte ce jour, et j'en passe ...

[sd44]

ca a l'air pas mal ça !
si quelqu'un connait un prog sous gentoo pour ca je suis interessé !
_________________
Pourquoi faire simple quand on peut faire compliqué ?

[Alexis]

[anigel]

[Tom_]

Vraiment interessant ce thread!

J'ai une petite question ... Est-ce que certains d'entre vous utilisent le projet "hardened" sur des desktop ? Si oui, est-ce que ca a des conséquences au niveau de l'utilisation (en dehors de l'aspect sécurité)?

Merci d'avance.