Comment securiser son pc lorsque l'on a un server iis
7 réponses
Pascal
Je tourne sous win2k, et j'ai sygate personnal firewall. sur le site
http://scan.sygate.com
Je passe tous les tests de secu. J'ai décidé d'installé dernierement un
server iis, et mon windows est a jour pour les patchs. Mais alors le
site me dit qu'il peut détecter les services que je fais tourner, et que
mon port ftp, https, smtp en particulier sont ouvert. Cela vient de
l'executable inetinfo.exe, si je le bloque, mon pc est a nouveau
séurisé. Le probleme c'est que le bloquer equivaut a ne plus faire
marcher mon server iis. Comment faire alors pour sécuriser mon pc?
--
Pascal
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Kna
Pascal écrivait news:3fc8c211$0$18447$:
Sous réserve de confirmation par de plus savants que moi :
site me dit qu'il peut détecter les services que je fais tourner, et que mon port ftp, https, smtp en particulier sont ouvert.
Si tu as choisi de fournir les services ftp, https et smtp, ça me semble tout à fait normal, et inévitable.
Cela vient de l'executable inetinfo.exe, si je le bloque, mon pc est a nouveau séurisé. Le probleme c'est que le bloquer equivaut a ne plus faire marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Je ne vois pas comment tu pourrais accepter des connexions entrantes sans que les ports équivalents soient ouverts, "à l'écoute".
Ce qui me semble important, c'est que les services en questions soient sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas possible d'y faire autre chose que prévu, via une faille de conception.
Est-ce que ton IIS + patchs est un bon choix dans cette optique ? Je laisse la parole aux connaisseurs..
Kna. -- Erreur fatale : ressource inaccessible , un utilisateur diffuse du contenu pornographique sur le serveur WEB de l'extranet. Système saisi par les services de police.
Sous réserve de confirmation par de plus savants que moi :
site me dit qu'il peut détecter les services que je fais tourner, et que
mon port ftp, https, smtp en particulier sont ouvert.
Si tu as choisi de fournir les services ftp, https et smtp, ça me semble
tout à fait normal, et inévitable.
Cela vient de
l'executable inetinfo.exe, si je le bloque, mon pc est a nouveau
séurisé. Le probleme c'est que le bloquer equivaut a ne plus faire
marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Je ne vois pas comment tu pourrais accepter des connexions entrantes sans
que les ports équivalents soient ouverts, "à l'écoute".
Ce qui me semble important, c'est que les services en questions soient
sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas
possible d'y faire autre chose que prévu, via une faille de conception.
Est-ce que ton IIS + patchs est un bon choix dans cette optique ?
Je laisse la parole aux connaisseurs..
Kna.
--
Erreur fatale : ressource inaccessible , un utilisateur diffuse du
contenu pornographique sur le serveur WEB de l'extranet. Système saisi
par les services de police.
Sous réserve de confirmation par de plus savants que moi :
site me dit qu'il peut détecter les services que je fais tourner, et que mon port ftp, https, smtp en particulier sont ouvert.
Si tu as choisi de fournir les services ftp, https et smtp, ça me semble tout à fait normal, et inévitable.
Cela vient de l'executable inetinfo.exe, si je le bloque, mon pc est a nouveau séurisé. Le probleme c'est que le bloquer equivaut a ne plus faire marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Je ne vois pas comment tu pourrais accepter des connexions entrantes sans que les ports équivalents soient ouverts, "à l'écoute".
Ce qui me semble important, c'est que les services en questions soient sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas possible d'y faire autre chose que prévu, via une faille de conception.
Est-ce que ton IIS + patchs est un bon choix dans cette optique ? Je laisse la parole aux connaisseurs..
Kna. -- Erreur fatale : ressource inaccessible , un utilisateur diffuse du contenu pornographique sur le serveur WEB de l'extranet. Système saisi par les services de police.
Nicob
On Sat, 29 Nov 2003 20:21:35 +0000, Pascal wrote:
Le probleme c'est que le bloquer equivaut a ne plus faire marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Si tu veux avoir un serveur IIS fonctionnel mais quand même sécurisé, voici quelques pistes :
- désactiver SMTP et FTP si tu ne veux que du Web - désactiver tous les mappings de répertoires virtuels - désactiver les extensions inutiles (.ida, .idq, .printer, ...) - appliquer les patchs de sécurité - tester le résultat avec un outil comme Nikto
Si tu veux aller plus loin, des tonnes de docs sont diponibles sur le Net à ce sujet ...
Nicob
On Sat, 29 Nov 2003 20:21:35 +0000, Pascal wrote:
Le probleme c'est que le bloquer equivaut a ne plus faire
marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Si tu veux avoir un serveur IIS fonctionnel mais quand même sécurisé,
voici quelques pistes :
- désactiver SMTP et FTP si tu ne veux que du Web
- désactiver tous les mappings de répertoires virtuels
- désactiver les extensions inutiles (.ida, .idq, .printer, ...)
- appliquer les patchs de sécurité
- tester le résultat avec un outil comme Nikto
Si tu veux aller plus loin, des tonnes de docs sont diponibles sur le Net
à ce sujet ...
Le probleme c'est que le bloquer equivaut a ne plus faire marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Si tu veux avoir un serveur IIS fonctionnel mais quand même sécurisé, voici quelques pistes :
- désactiver SMTP et FTP si tu ne veux que du Web - désactiver tous les mappings de répertoires virtuels - désactiver les extensions inutiles (.ida, .idq, .printer, ...) - appliquer les patchs de sécurité - tester le résultat avec un outil comme Nikto
Si tu veux aller plus loin, des tonnes de docs sont diponibles sur le Net à ce sujet ...
Nicob
Pascal
Kna wrote:
Je ne vois pas comment tu pourrais accepter des connexions entrantes sans que les ports équivalents soient ouverts, "à l'écoute".
ca je suis d'accord.
Ce qui me semble important, c'est que les services en questions soient sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas possible d'y faire autre chose que prévu, via une faille de conception.
Ba justement c'est ca que je voudrais savoir, comment faire, existe il des tests? Sur le ftp, facile de limiter l'acces, mais sur le reste?
Une autre question, le fait que mon port smtp soit visible est il dangereux/embettant?
Est-ce que ton IIS + patchs est un bon choix dans cette optique ? Je laisse la parole aux connaisseurs..
Ba ca je sais pas, mais c'est le plus simple. -- Pascal
Kna wrote:
Je ne vois pas comment tu pourrais accepter des connexions entrantes sans
que les ports équivalents soient ouverts, "à l'écoute".
ca je suis d'accord.
Ce qui me semble important, c'est que les services en questions soient
sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas
possible d'y faire autre chose que prévu, via une faille de conception.
Ba justement c'est ca que je voudrais savoir, comment faire, existe il
des tests? Sur le ftp, facile de limiter l'acces, mais sur le reste?
Une autre question, le fait que mon port smtp soit visible est il
dangereux/embettant?
Est-ce que ton IIS + patchs est un bon choix dans cette optique ?
Je laisse la parole aux connaisseurs..
Ba ca je sais pas, mais c'est le plus simple.
--
Pascal
Je ne vois pas comment tu pourrais accepter des connexions entrantes sans que les ports équivalents soient ouverts, "à l'écoute".
ca je suis d'accord.
Ce qui me semble important, c'est que les services en questions soient sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas possible d'y faire autre chose que prévu, via une faille de conception.
Ba justement c'est ca que je voudrais savoir, comment faire, existe il des tests? Sur le ftp, facile de limiter l'acces, mais sur le reste?
Une autre question, le fait que mon port smtp soit visible est il dangereux/embettant?
Est-ce que ton IIS + patchs est un bon choix dans cette optique ? Je laisse la parole aux connaisseurs..
Ba ca je sais pas, mais c'est le plus simple. -- Pascal
Chab
Sous réserve de confirmation par de plus savants que moi :
site me dit qu'il peut détecter les services que je fais tourner, et que mon port ftp, https, smtp en particulier sont ouvert.
Si tu as choisi de fournir les services ftp, https et smtp, ça me semble tout à fait normal, et inévitable.
Cela vient de l'executable inetinfo.exe, si je le bloque, mon pc est a nouveau séurisé. Le probleme c'est que le bloquer equivaut a ne plus faire marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Je ne vois pas comment tu pourrais accepter des connexions entrantes sans que les ports équivalents soient ouverts, "à l'écoute".
Ce qui me semble important, c'est que les services en questions soient sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas possible d'y faire autre chose que prévu, via une faille de conception.
Est-ce que ton IIS + patchs est un bon choix dans cette optique ? Je laisse la parole aux connaisseurs..
Je viens d'aller voir le site... Il est bien sympa et bien utile !! Par contre c'est vrai qu'ils se la jouent PARANO lol lol Un port ouvert = un trou de secu pour eux lol
Rassure-toi, c'est normal que tu aies ces ports ouverts si tu proposes ces services. Il faut bien que les clients web (IE, Netscape etc...) qui utilisent ton IIS puissent se connecter au port Web (port 80) de ton ordinateur... Il FAUT donc qu'il soit ouvert !
Par contre, si tu es vraiment soucieux de ta sécurité, je te conseille d'utiliser autre chose qu'un IIS (genre un apache !) sauf si tu veux absolument faire tes sites web en asp.net (:o/ PHP RuLeZ !)...
Voilà
- -- Chab
Sous réserve de confirmation par de plus savants que moi :
site me dit qu'il peut détecter les services que je fais tourner, et que
mon port ftp, https, smtp en particulier sont ouvert.
Si tu as choisi de fournir les services ftp, https et smtp, ça me semble
tout à fait normal, et inévitable.
Cela vient de
l'executable inetinfo.exe, si je le bloque, mon pc est a nouveau
séurisé. Le probleme c'est que le bloquer equivaut a ne plus faire
marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Je ne vois pas comment tu pourrais accepter des connexions entrantes sans
que les ports équivalents soient ouverts, "à l'écoute".
Ce qui me semble important, c'est que les services en questions soient
sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas
possible d'y faire autre chose que prévu, via une faille de conception.
Est-ce que ton IIS + patchs est un bon choix dans cette optique ?
Je laisse la parole aux connaisseurs..
Je viens d'aller voir le site... Il est bien sympa et bien utile !!
Par contre c'est vrai qu'ils se la jouent PARANO lol lol Un port ouvert = un
trou de secu pour eux lol
Rassure-toi, c'est normal que tu aies ces ports ouverts si tu proposes ces
services. Il faut bien que les clients web (IE, Netscape etc...) qui
utilisent ton IIS puissent se connecter au port Web (port 80) de ton
ordinateur... Il FAUT donc qu'il soit ouvert !
Par contre, si tu es vraiment soucieux de ta sécurité, je te conseille
d'utiliser autre chose qu'un IIS (genre un apache !) sauf si tu veux
absolument faire tes sites web en asp.net (:o/ PHP RuLeZ !)...
Sous réserve de confirmation par de plus savants que moi :
site me dit qu'il peut détecter les services que je fais tourner, et que mon port ftp, https, smtp en particulier sont ouvert.
Si tu as choisi de fournir les services ftp, https et smtp, ça me semble tout à fait normal, et inévitable.
Cela vient de l'executable inetinfo.exe, si je le bloque, mon pc est a nouveau séurisé. Le probleme c'est que le bloquer equivaut a ne plus faire marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Je ne vois pas comment tu pourrais accepter des connexions entrantes sans que les ports équivalents soient ouverts, "à l'écoute".
Ce qui me semble important, c'est que les services en questions soient sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas possible d'y faire autre chose que prévu, via une faille de conception.
Est-ce que ton IIS + patchs est un bon choix dans cette optique ? Je laisse la parole aux connaisseurs..
Je viens d'aller voir le site... Il est bien sympa et bien utile !! Par contre c'est vrai qu'ils se la jouent PARANO lol lol Un port ouvert = un trou de secu pour eux lol
Rassure-toi, c'est normal que tu aies ces ports ouverts si tu proposes ces services. Il faut bien que les clients web (IE, Netscape etc...) qui utilisent ton IIS puissent se connecter au port Web (port 80) de ton ordinateur... Il FAUT donc qu'il soit ouvert !
Par contre, si tu es vraiment soucieux de ta sécurité, je te conseille d'utiliser autre chose qu'un IIS (genre un apache !) sauf si tu veux absolument faire tes sites web en asp.net (:o/ PHP RuLeZ !)...
Voilà
- -- Chab
Ascadix
Kna wrote:
Pascal écrivait news:3fc8c211$0$18447$:
Sous réserve de confirmation par de plus savants que moi :
site me dit qu'il peut détecter les services que je fais tourner, et que mon port ftp, https, smtp en particulier sont ouvert.
Si tu as choisi de fournir les services ftp, https et smtp, ça me semble tout à fait normal, et inévitable.
Cela vient de l'executable inetinfo.exe, si je le bloque, mon pc est a nouveau séurisé. Le probleme c'est que le bloquer equivaut a ne plus faire marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Je ne vois pas comment tu pourrais accepter des connexions entrantes sans que les ports équivalents soient ouverts, "à l'écoute".
Ce qui me semble important, c'est que les services en questions soient sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas possible d'y faire autre chose que prévu, via une faille de conception.
Est-ce que ton IIS + patchs est un bon choix dans cette optique ? Je laisse la parole aux connaisseurs..
1 - Les patchs à jours ( avec WindowsUpdate, c'est déja bien ) 2 - n'installer / activer que les services nécessaires 3 - Un bon coup de IISlock par dessus 4 - Mettre à jour le filtre isapi urlscan ( v 2.1 installé par IISlock ) en v 2.5
3 & 4 bis .. ça ce trouve facilement sur downloads.microsoft.com et ça s'install facilemment .. si tu as bien défini ce que tu veut faire avec ton IIS pour répondre aux question de l'installation de IISlock
-- @+ Ascadix Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans l'objet :-)
Sous réserve de confirmation par de plus savants que moi :
site me dit qu'il peut détecter les services que je fais tourner, et
que mon port ftp, https, smtp en particulier sont ouvert.
Si tu as choisi de fournir les services ftp, https et smtp, ça me
semble tout à fait normal, et inévitable.
Cela vient de
l'executable inetinfo.exe, si je le bloque, mon pc est a nouveau
séurisé. Le probleme c'est que le bloquer equivaut a ne plus faire
marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Je ne vois pas comment tu pourrais accepter des connexions entrantes
sans que les ports équivalents soient ouverts, "à l'écoute".
Ce qui me semble important, c'est que les services en questions soient
sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas
possible d'y faire autre chose que prévu, via une faille de
conception.
Est-ce que ton IIS + patchs est un bon choix dans cette optique ?
Je laisse la parole aux connaisseurs..
1 - Les patchs à jours ( avec WindowsUpdate, c'est déja bien )
2 - n'installer / activer que les services nécessaires
3 - Un bon coup de IISlock par dessus
4 - Mettre à jour le filtre isapi urlscan ( v 2.1 installé par IISlock ) en
v 2.5
3 & 4 bis .. ça ce trouve facilement sur downloads.microsoft.com et ça
s'install facilemment .. si tu as bien défini ce que tu veut faire avec ton
IIS pour répondre aux question de l'installation de IISlock
--
@+
Ascadix
Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans
l'objet :-)
Sous réserve de confirmation par de plus savants que moi :
site me dit qu'il peut détecter les services que je fais tourner, et que mon port ftp, https, smtp en particulier sont ouvert.
Si tu as choisi de fournir les services ftp, https et smtp, ça me semble tout à fait normal, et inévitable.
Cela vient de l'executable inetinfo.exe, si je le bloque, mon pc est a nouveau séurisé. Le probleme c'est que le bloquer equivaut a ne plus faire marcher mon server iis. Comment faire alors pour sécuriser mon pc?
Je ne vois pas comment tu pourrais accepter des connexions entrantes sans que les ports équivalents soient ouverts, "à l'écoute".
Ce qui me semble important, c'est que les services en questions soient sûrs, c.a.d. qu'une fois un client connecté dessus, il ne lui soit pas possible d'y faire autre chose que prévu, via une faille de conception.
Est-ce que ton IIS + patchs est un bon choix dans cette optique ? Je laisse la parole aux connaisseurs..
1 - Les patchs à jours ( avec WindowsUpdate, c'est déja bien ) 2 - n'installer / activer que les services nécessaires 3 - Un bon coup de IISlock par dessus 4 - Mettre à jour le filtre isapi urlscan ( v 2.1 installé par IISlock ) en v 2.5
3 & 4 bis .. ça ce trouve facilement sur downloads.microsoft.com et ça s'install facilemment .. si tu as bien défini ce que tu veut faire avec ton IIS pour répondre aux question de l'installation de IISlock
-- @+ Ascadix Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans l'objet :-)
Julien Bordet
- désactiver SMTP et FTP si tu ne veux que du Web - désactiver tous les mappings de répertoires virtuels - désactiver les extensions inutiles (.ida, .idq, .printer, ...) - appliquer les patchs de sécurité - tester le résultat avec un outil comme Nikto
Tu peux utiliser l'outil fourni par Microsoft pour aider à sécuriser la machine : IIS Lockdown, que tu peux trouvé ici :
- désactiver SMTP et FTP si tu ne veux que du Web
- désactiver tous les mappings de répertoires virtuels
- désactiver les extensions inutiles (.ida, .idq, .printer, ...)
- appliquer les patchs de sécurité
- tester le résultat avec un outil comme Nikto
Tu peux utiliser l'outil fourni par Microsoft pour aider à sécuriser la
machine : IIS Lockdown, que tu peux trouvé ici :
- désactiver SMTP et FTP si tu ne veux que du Web - désactiver tous les mappings de répertoires virtuels - désactiver les extensions inutiles (.ida, .idq, .printer, ...) - appliquer les patchs de sécurité - tester le résultat avec un outil comme Nikto
Tu peux utiliser l'outil fourni par Microsoft pour aider à sécuriser la machine : IIS Lockdown, que tu peux trouvé ici :
1 - Les patchs à jours ( avec WindowsUpdate, c'est déja bien ) 2 - n'installer / activer que les services nécessaires 3 - Un bon coup de IISlock par dessus 4 - Mettre à jour le filtre isapi urlscan ( v 2.1 installé par IISlock ) en v 2.5
3 & 4 bis .. ça ce trouve facilement sur downloads.microsoft.com et ça s'install facilemment .. si tu as bien défini ce que tu veut faire avec ton IIS pour répondre aux question de l'installation de IISlock
Ouais, indispensable. En plus de tout cela : -Arbo web sur une unité logique distincte de WinNT (si ton install est sur le C, mets l'arbo web sur D ou E) -Ne pas utiliser les sites web par défaut, les effacer et tout refaire à partir de 0. -Bien gérer les droits sur les fichiers de l'arbo web.
Léo. #Si ce problème t'interesse, tu es bien sur un collaborateur #bienvenu... #(et pi c interessant les raw sockets ethernet en C non ? ;) ) # - Vu sur fr.comp.reseaux.ip
On 30 Nov 2003 17:14:03 GMT, "Ascadix" <ascadix.ng@free.fr> wrote:
Kna wrote:
1 - Les patchs à jours ( avec WindowsUpdate, c'est déja bien )
2 - n'installer / activer que les services nécessaires
3 - Un bon coup de IISlock par dessus
4 - Mettre à jour le filtre isapi urlscan ( v 2.1 installé par IISlock ) en
v 2.5
3 & 4 bis .. ça ce trouve facilement sur downloads.microsoft.com et ça
s'install facilemment .. si tu as bien défini ce que tu veut faire avec ton
IIS pour répondre aux question de l'installation de IISlock
Ouais, indispensable. En plus de tout cela :
-Arbo web sur une unité logique distincte de WinNT (si ton install est
sur le C, mets l'arbo web sur D ou E)
-Ne pas utiliser les sites web par défaut, les effacer et tout refaire
à partir de 0.
-Bien gérer les droits sur les fichiers de l'arbo web.
Léo.
#Si ce problème t'interesse, tu es bien sur un collaborateur
#bienvenu...
#(et pi c interessant les raw sockets ethernet en C non ? ;) )
# - Vu sur fr.comp.reseaux.ip
1 - Les patchs à jours ( avec WindowsUpdate, c'est déja bien ) 2 - n'installer / activer que les services nécessaires 3 - Un bon coup de IISlock par dessus 4 - Mettre à jour le filtre isapi urlscan ( v 2.1 installé par IISlock ) en v 2.5
3 & 4 bis .. ça ce trouve facilement sur downloads.microsoft.com et ça s'install facilemment .. si tu as bien défini ce que tu veut faire avec ton IIS pour répondre aux question de l'installation de IISlock
Ouais, indispensable. En plus de tout cela : -Arbo web sur une unité logique distincte de WinNT (si ton install est sur le C, mets l'arbo web sur D ou E) -Ne pas utiliser les sites web par défaut, les effacer et tout refaire à partir de 0. -Bien gérer les droits sur les fichiers de l'arbo web.
Léo. #Si ce problème t'interesse, tu es bien sur un collaborateur #bienvenu... #(et pi c interessant les raw sockets ethernet en C non ? ;) ) # - Vu sur fr.comp.reseaux.ip