[DOW] La sécurité informatique : comment la gérez-vous ?

[polytan]

Je suis d'accord avec toi, mais as-tu pensé à n'utiliser que jabber et passer par des serveurs passerelle pour les autres protocols ?

Je n'ai pas encore fait le pas personnellement, je crois qu'avec pidgin ca ne marche pas encore super bien :/
_________________
Wait & See

-=( Polytan )=-

[geekounet]

[nico_calais]

Bon bah moi, j'ai du boulot perso dans ce domaine actuellement. J'ai completement revu mon réseau ce week-end.

Attention ! Ma topologie risque de choquer les téléspectateurs les plus sensibles..biiiiippp...


En tête de ligne, j'ai ma cretin box qui est en mode bridge. Elle agit donc comme un simple modem ethernet. Néanmoins, elle reste accessible au 192.168.1.1. J'ai aussi désactivé le wifi de la boite.
Un ordi sous freebsd est le "coeur" de ce réseau. Il fait office de...point d'accès. L'histoire serait trop longue pour vous dire pourquoi j'en suis arrivé là...mais allons, histoire de s'enfoncer, je suis en ...wep 128... .
Ma carte wifi supporte le master mode sous freebsd (et non sous linux, d'où en partie la migration) mais ne supporte pas le wpa. Bref....si j'avais un prof de sécu à l'heure actuelle, je me ferai sûrement frapper.

Pour pallier à ça, j'ai donc mis en place un firewall aussi bien restrictif de l'exterieur que de l'interieur. J'ajoute que c'est la première fois que je met en place un firewall. Ayant toujours eu des routeurs/modems, j'en ai jamais eu besoin. Et c'est en partie pour ça que j'ai 'ailleurs tout cassé ce week-end . J'ajoute que j'ai utilisé fwbuilder pour construire mes règles et j'utilise PF comme firewall.

Tout est bloqué par défaut.

Règles de l'exterieur :

Le ssh du freebsd n'est accessible que du taf (addresse IP fixe) via le port 443 (Restrictions firewall du taf).

Règles de l'interieur :

J'ai 2 portables qui sont donc naturellement tous les 2 connectés en wifi via addresse IP fixe.
Le macbook a l'autorisation de se connecter en ssh sur le serveur.
Le PC sous windows a l'autoisation de se connecter sur le port 26000 et à l'addresse IP du serveur de Eve Online (Un on jeu).
Les 2 postes ont accès au web (ports 80 et 443).

Si d'autres postes viennent à se connecter sur le réseau, ils n'auront donc accès à rien.




Il ne me reste plus qu'un truc qui me gêne. C'est que si jamais quelqu'un craque ma clé wep, peut sniffer mon traffic. ici y aura que l'http principlement mais bon...Alors je me suis rappellé que ipv6 integrait nativement l'ipsec.
Alors je me dis bêtement que si je peux utiliser l'ipv6 dans mon lan, j'aurai plus ce problème et que donc, si un mec me crak ma clé, d'une part, il n'aura aucune donnée en clair et d'autre part, il n'aura accès à rien.



Heu...bah voilà..
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no

[polytan]

Je ne sais pas comment on met en place un réseau privé IPv6.

J'imagine que ca ne doit pas être bcp plus dur qu'un en IPv4...
_________________
Wait & See

-=( Polytan )=-

[kwenspc]

Grosse question:

La sécurité passe aussi par les logs: leur enregistrements et leur analyse.

Pour ma part c'est syslog-ng mais je le trouve finalement pas si génial. Je m'explique: pour les logs courants (auth.log, dameon.log ...) ça va, mais dès qu'on entre dans les logs un peu plus "exotiques" genre mysql, apache, et mêmes des soft "mal fait" (softs clients...) on se retrouve avec une foultitude de fichiers logs mais non pris en charge directement par syslog-ng (et aucun autre d'ailleurs), tout ça parce que "c'est tellement plus mieux d'ouvrir un fichier dans /var/log et d'y écrire comme un porcs les logs"
Une bidouille récupérée sur ce forum même m'a permis de récupéré ces logs "exotiques" via la simple construction d'un pipe. On creer le fichier log en tant que fichier pipe (mkfifo) et on fait en sorte que l'appli écrit dans ce pipe tandis que syslog-ng récupère le tout.
Problème: ça va pour 2-3 fichiers, mais ça devient super chiant quand on a des grappes de serveurs avec tout un tas de softs différents, des tonnes de fichiers logs à la noix. Sans parler du fait que syslog-ng ne sait pas de lui même retrouver le nom du service donc faut mettre ne place des filtre pour pouvoir ensuite bien enregistrer es fichiers là où il faut sur le serveur de log (oui je log tout sur un serveur à haute capacité de données, bien redondant et tout)

Bref: c'est pas la joie. Je me suis pas encore pris par la main pour aller voir d'autre solutions après...

Côté analyse pour le moment ça reste très basique, pour ce qui est des logs "normaux" (auth, dameon...) j'utilise phpsyslog-ng mais le gros défaut c'est que ça duplique les logs vu qu'il les enregistre dans une bdd mysql (d'ailleurs il rame à mort mysql dès lors qu'on arrive à une bdd bien énorme fin bref, j'aurais préféré du postgre). Et les autres fichiers sont tous bien uniques en leur genre (format différents etc...) bicoze soft clients inside. Pas la joie non plus. (en même temps je suis pas sys-admin, ni payé pour - avec les responsabilités que ça implique - donc j'ai fait le strict-minimum pour que ça tourne mieux que ce qu'il y avait à la base)

Et vous quelles solutions utilisez-vous?
_________________
membre officieux du SAV Ati GEntoo

[-KuRGaN-]

Une autre petit astuce pour la sécurité, c'est distribuer les fichiers de configuration sensibles par cfengine tout les quarts d'heure par exemple. En effet, en plus d'apporter une solution de gestion de configuration très souple cela permet de vérifier que c'est bien notre fichier qui est en place et pas un autre. De plus, il est très facile de configurer cfengine pour qu'il redémarre des processus qui ont planter ou on été planter.
Ajouter à cela un petit zabbix configurer aux petit oignons histoire d'envoyer un sms assez rapidement lors d'un souçis sur des configurations sensibles, cela permet de gérer efficacement et rapidement le problème.
Ensuite, avec un bon syslog-ng, car comme l'a dit kwenspc, les logs sont très important, donc le mieux est d'avoir un serveur de log qui récupère tout sur les autres serveurs, enfin, que les serveurs envoient tout sur un serveurs de log en fait . Ca permet de rendre l'effacement de log un peu plus difficile pour les petits malins.
Et une dernière chose concernant les logs, pour les serveurs dmz surtout, avec iptables, logger aussi ce qui passe, par "services" par exemple, ça peut toujours être utiles en cas d'intrusion, histoire de boucher le trou si on peut.

Et maintenant une dernière chose, cette fois-ci, promis c'est vraiment la dernière, si vous pouvez, virtualiser vos serveurs histoire d'avoir le moins de services possible qui tournent sur le même os, et l'os hôte ne doit gérer que la virtualisation et rien d'autre, car c'est l'os le plus sensible sur un système virtualiser.

Et voilà, j'ai fini ma vision de la sécurité, enfin ce qui me vient à l'esprit, en espérant n'avoir pas trop raconter de conneries

Bonne soirée.
_________________
Knight Gent00 Industries RiDeR !!!!

[Temet]

Hey Geekouboss, ça fait deux semaines

[geekounet]

[-KuRGaN-]

[blasserre]

[kopp]

Perso je trouve pas que le fait de ne pas taper le mdp root soit plus sécurisé. Autoriser un utilisateur à effectuer des actions avec les droits de root, je trouve que ça enlève tout l'intérêt du compte root...

[xaviermiller]

oui, à part pour lancer des instructions du genre "shutdown", je ne vois pas trop l'utilité de sudo...

Par contre, j'aime bien les Su-doku
_________________
Kind regards,
Xavier Miller

[anigel]

[kopp]

[Temet]

Perso, taper "sudo" devant chaque commande ça me gonfle!
Quand je me suis retrouvé devant la Kubuntu d'un mec (qui captait rien, un noob (c'est pas péjoratif, faut bien commencer))... la première chose que je me suis demandé c'est comment être en root. Bon bah j'ai voté pour "sudo su" ... ça a marché

[kopp]

sudo bash marche aussi il me semble.

[Bapt]

[blasserre]

loin de moi l'idée de lancer un troll, mais je pensais que cette histoire de suppression de root avait un intérêt plus profond que le simple fait de ne pas effrayer les n00bs avec un compte root comme le soulignait kopp.

donc pour résumer : vous l'utilisez sudo ou pas ?
perso je l'utilise sans pass pour syncer (eix-sync, layman)
et avec pas pour emerge et revdep-rebuild
.... et je suis toujours emmerdé pour ajouter une ligne dans /etc/portage/* ou faire un petit dispatch-conf

(je sens venir les sudoedit et autres groupes portage...)
_________________
benj

technicien professionnel, ascendant winner

[nonas]

$ sudo
bash: sudo: command not found
Quand j'ai de l'administration à faire je "su" depuis mon utilisateur qui est dans le groupe wheel et c'est tout. (même pour éteindre la machine)

[yoyo]

[Temet]

[strataoide]

[Dismantr]

Mais... On peut changer l'UID d'un utilisateurs donc pourquoi ne pourrait-on pas changer celui de root ? C'est pas possible ?

[kopp]

[strataoide]

Non bien sur!!! C'est en hommage au site gay freekevin.

http://uncyclopedia.org/wiki/Free_Kevin
http://uncyclopedia.org/wiki/Reality_Distortion_Field
bon je