[long] HF Client/Serveur censure?
Le
Daniel
Ci-joint copie d'une réponse que j'avais fait en face et qui ne semble
pas passer la modération.
Pour info, hier j'avais demandé à ed-enligne d'expliquer comment faire
fonctionner le moteur de HF sous un autre user que root, et j'avais
fait référence au site http://www.iana.org/assignments/port-numbers
en recopiant l'entête du fichier qui indique :
* PLEASE NOTE THE FOLLOWING: *
* *
* 1. UNASSIGNED PORT NUMBERS SHOULD NOT BE USED. THE IANA WILL ASSIGN *
* THE NUMBER FOR THE PORT AFTER YOUR APPLICATION HAS BEEN APPROVED.
Ce message n'a pas passé la modération
par curiosisté j'ai fait un nmap sur kalanda.net
[daniel@doudou daniel]$ nmap kalanda.net -p4900
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on ks.kalanda.net (80.245.60.37):
Port State Service
4900/tcp open unknown
autre point où il serait intéressant d'avoir une réponse c'est sur le
comportement du serveur sur un telnet.
Je m'explique sur les hébergeurs de MySQL un telnet serveur 3306 rend (d=
éconnexion)
la main très rapidement, sur le port 4900 ce n'est pas automatique.
Ci-joint copie d'une autre réponse que j'avais fait en face et qui ne sem=
ble
pas passer la modération.
Newsgroups: pcsoft.fr.windev
Subject: Re: HF C/S sur internet
References: <m24q7mmxip.fsf@doudou.coul.fr> <434f0478$1@news.pcsoft.fr>
--text follows this line--
"Heiniger Marcel" <heiniger@mhi.ch> writes:
> >Ah bon, bien sure qu'ouvrir un port sur un serveur constitue un
> >risque potentiel de créer une faille de sécurité.
>
> >D'après toi pourquoi il y a des worms qui utilisent les ports ouverts
> >pour infecter les machines.
>
> Le ports ouverts N'EST PAS la faille de sécurité. C'est comme dans un
> chateau fort, un port coresspond à un élémant des rampart.
>
> si derière cet élément il y as un cannon la sécurité est bonne =
si
> derière c'est parcontre juste une porte en bois pourie c'est par là
> que les assaillant vont entré la porte.
>
> Faut dire à ton fournisseur que s'il veux faire une forteresse comme
> celle de Vauban (bellefort & Besançon) qui n'on jamais été envailli=
e,
> il doit faire les manips suivantes.
>
> - désactiver tous les scripts sur le serveur comme php,ASP,perl plus
> de 50% des failles de sécuritée seront donc bouchée.
>
> - désactiver apache,IIS je lis min 1x/mois des nouvelles failles de
> sécus.
>
> - désactiver le FTP le clients pourais faire rentre un virus,un vert,
> un rootkit,
>
> - retirer le système dexploitations comme Winows(1 des plus grand
> virus), linux
>
> - Retirer les cables réseau, sans cable réseau plus de ports ouvert et
> aucun assaillant ne viendra par le réseau.
>
> - éteindre le serveur, il pourais y avoir une attaque par surtention.
>
> - mettre le serveur dans un coffre fort.
>
> - mettre le coffre dans une cage de faradey qui elle est dans un abris
> atomique.
>
> ah joubliais faut encore faire une copie de sauvegarge, un disque ne
> vis qeu env. 20-25 ans et faire en sorte que lui connaissant l'accés
> soit falcher par un norolisatieur des MIB
>
> La je crois qu'il aura bien fait sons travail et sécurisé son serveur
> !
>
> Mais à quelle prix plus personne du tous n'auras accès à ca
> forteresse!!!
>
>
> Vous aurez surement compris que je plaiusantais et que j'allais dans
> les extrèmes. Notre boulot d'administrateur c'est de rendre services
> à nos clients.
Oui
> S'il on besoin douvrir un port pour tel ou tel aplication on le fait,
> si on connais pas bien l'api, on la met dans un espace schrooter et on
> fait notre boulot on surveille et on limite les dégat.
>
3 questions :
- comment mettre faire fonctionner le moteur HF sur un user différent
de root?
- comment chrooter HF?
- peut on utiliser le port 4900 sur internet sachant qu'il n'est pas
attribuer, et qu'il faut en faire la demande à l'IANA?
Une remarque d'ordre générale, Oui il n'y a pas plus de raison d'avoir
des trous de sécurités qu'avec d'autres bases. Une seconde remarque,
il suffit de regarder les "rules" de snort pour voir que
malheureusement c'est souvent sur les systèmes propriétaires où il y a
plus de failles (netbios, oracle)
--
suivre ce lien pour répondre:
http://cerbermail.com/?2KrV3YZXnn
Daniel
;-)
pas passer la modération.
Pour info, hier j'avais demandé à ed-enligne d'expliquer comment faire
fonctionner le moteur de HF sous un autre user que root, et j'avais
fait référence au site http://www.iana.org/assignments/port-numbers
en recopiant l'entête du fichier qui indique :
* PLEASE NOTE THE FOLLOWING: *
* *
* 1. UNASSIGNED PORT NUMBERS SHOULD NOT BE USED. THE IANA WILL ASSIGN *
* THE NUMBER FOR THE PORT AFTER YOUR APPLICATION HAS BEEN APPROVED.
Ce message n'a pas passé la modération
par curiosisté j'ai fait un nmap sur kalanda.net
[daniel@doudou daniel]$ nmap kalanda.net -p4900
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on ks.kalanda.net (80.245.60.37):
Port State Service
4900/tcp open unknown
autre point où il serait intéressant d'avoir une réponse c'est sur le
comportement du serveur sur un telnet.
Je m'explique sur les hébergeurs de MySQL un telnet serveur 3306 rend (d=
éconnexion)
la main très rapidement, sur le port 4900 ce n'est pas automatique.
Ci-joint copie d'une autre réponse que j'avais fait en face et qui ne sem=
ble
pas passer la modération.
Newsgroups: pcsoft.fr.windev
Subject: Re: HF C/S sur internet
References: <m24q7mmxip.fsf@doudou.coul.fr> <434f0478$1@news.pcsoft.fr>
--text follows this line--
"Heiniger Marcel" <heiniger@mhi.ch> writes:
> >Ah bon, bien sure qu'ouvrir un port sur un serveur constitue un
> >risque potentiel de créer une faille de sécurité.
>
> >D'après toi pourquoi il y a des worms qui utilisent les ports ouverts
> >pour infecter les machines.
>
> Le ports ouverts N'EST PAS la faille de sécurité. C'est comme dans un
> chateau fort, un port coresspond à un élémant des rampart.
>
> si derière cet élément il y as un cannon la sécurité est bonne =
si
> derière c'est parcontre juste une porte en bois pourie c'est par là
> que les assaillant vont entré la porte.
>
> Faut dire à ton fournisseur que s'il veux faire une forteresse comme
> celle de Vauban (bellefort & Besançon) qui n'on jamais été envailli=
e,
> il doit faire les manips suivantes.
>
> - désactiver tous les scripts sur le serveur comme php,ASP,perl plus
> de 50% des failles de sécuritée seront donc bouchée.
>
> - désactiver apache,IIS je lis min 1x/mois des nouvelles failles de
> sécus.
>
> - désactiver le FTP le clients pourais faire rentre un virus,un vert,
> un rootkit,
>
> - retirer le système dexploitations comme Winows(1 des plus grand
> virus), linux
>
> - Retirer les cables réseau, sans cable réseau plus de ports ouvert et
> aucun assaillant ne viendra par le réseau.
>
> - éteindre le serveur, il pourais y avoir une attaque par surtention.
>
> - mettre le serveur dans un coffre fort.
>
> - mettre le coffre dans une cage de faradey qui elle est dans un abris
> atomique.
>
> ah joubliais faut encore faire une copie de sauvegarge, un disque ne
> vis qeu env. 20-25 ans et faire en sorte que lui connaissant l'accés
> soit falcher par un norolisatieur des MIB
>
> La je crois qu'il aura bien fait sons travail et sécurisé son serveur
> !
>
> Mais à quelle prix plus personne du tous n'auras accès à ca
> forteresse!!!
>
>
> Vous aurez surement compris que je plaiusantais et que j'allais dans
> les extrèmes. Notre boulot d'administrateur c'est de rendre services
> à nos clients.
Oui
> S'il on besoin douvrir un port pour tel ou tel aplication on le fait,
> si on connais pas bien l'api, on la met dans un espace schrooter et on
> fait notre boulot on surveille et on limite les dégat.
>
3 questions :
- comment mettre faire fonctionner le moteur HF sur un user différent
de root?
- comment chrooter HF?
- peut on utiliser le port 4900 sur internet sachant qu'il n'est pas
attribuer, et qu'il faut en faire la demande à l'IANA?
Une remarque d'ordre générale, Oui il n'y a pas plus de raison d'avoir
des trous de sécurités qu'avec d'autres bases. Une seconde remarque,
il suffit de regarder les "rules" de snort pour voir que
malheureusement c'est souvent sur les systèmes propriétaires où il y a
plus de failles (netbios, oracle)
--
suivre ce lien pour répondre:
http://cerbermail.com/?2KrV3YZXnn
Daniel
;-)
Poser une question
En fait la discussion "d'en face" montre bien le peu
d'informations techniques dont nous disposons sur HF C/S
Ce qui en ressort sur l'ouvertue d'un port, c'est que la sécurité
dépend de ce qui tourne sur ce port ( ici le serveur HF C/S ).
Quand à l'info que tu communiques, c'est en effet à creuser.
Sébastien
Du même ordre, Qu'est-ce qui t'empêche utiliser le port 4080 pour ton
serveur web et le 4021 pour ton serveur FTP ?
La norme veut que certain service soit associé à des ports bien
déterminés mai sje ne vois pas en quoi c'est une obligation.
Vincent.
le 4080 n'est pas assigné, le 4021 est assigné.
Il y a tout un protocol pour faire qu'un port non assigné le
devienne. Dans ce cas on le fait.
Cf http://www.iana.org
Si on ne veut pas faire cette démarche d'assignation dans ce cas on
fait ce qui écrit :
"DYNAMIC AND/OR PRIVATE PORTS
The Dynamic and/or Private Ports are those from 49152 through 65535"
Ja ne sais pas si il s'agit d'une obligation ( quoique), mais le jour
que par exemple le routage sur l'Internet de port non assigné ne
sera plus permis, il faudra pas venir raler. Ou plus simple, Microsoft
demande l'assignation de ce port.
A partir du moment qu'on décide d'aller sur l'Internet, on essaie de
respecter son fonctionnement et les normes, sinon on reste en intranet.
Pour arriver à la conclusion, que PCSoft documente sa base, fasse
assigné le port après on pourra parler de procédure.
Maintenant rien empêche d'ouvrir un port entre 49152-65535 qu'on
redirige sur le 4900 en interne.
Concernant WebDev et HF C/S la question ne se pose pas car dans ce cas
on passe par le web.
--
suivre ce lien pour répondre:
http://cerbermail.com/?2KrV3YZXnn
Daniel
;-)
Non nous méprenons pas, je suis entièrement d'accord avec toi sur le
respect du fonctionnement et des normes d'internet.
Ma question portée uniquement sur le caractére obligatoire.
Vincent.
Je ne sais pas pour le caractère obligatoire, mais bon pour une
société qui commercialise un produit il serait bien qu'elle fasse
enregistrer le port.
http://www.iana.org/cgi-bin/usr-port-number.pl
@+
--
suivre ce lien pour répondre:
http://cerbermail.com/?2KrV3YZXnn
Daniel
;-)