Je suis en train d'étudier l'achat d'un autocommutateur téléphonique
pour le boulot. La partie "téléphonie" en elle-même ne pose pas de
problème, car elle utilise des câbles différents des câbles Ethernet
du LAN.
Maintenant, on me propose de connecter l'autocommutateur au réseau
pour pouvoir afficher sur chaque PC des informations concernant
l'appelant, ou pour permettre de composer un numéro via le PC.
J'avoue que connecter directement sur le LAN une "noîte noire" qui
peut être contrôlée à distance (par le SAV du fournisseur) m'inquiète
un peu.
Quelqu'un aurait-il un retour d'expérience ? Audit de sécurité,
solutions pour isoler l'autocommutateur des données sensibles, etc.
Le problème c'est trouver un bon partenaire pas frocément commercialement mais techniquement.
Dans mon cas, le problème c'est de trouver un partenaire tout court. J'habite au milieu de nulle part, et j'aime autant avoir un fournisseur local, qui puisse arriver rapidement en cas de panne matérielle.
On 26 Oct 2007 10:21:44 GMT, Stephane <stephane@surleforum.fr>:
Le problème c'est trouver un bon partenaire pas frocément
commercialement mais techniquement.
Dans mon cas, le problème c'est de trouver un partenaire tout court.
J'habite au milieu de nulle part, et j'aime autant avoir un
fournisseur local, qui puisse arriver rapidement en cas de panne
matérielle.
Le problème c'est trouver un bon partenaire pas frocément commercialement mais techniquement.
Dans mon cas, le problème c'est de trouver un partenaire tout court. J'habite au milieu de nulle part, et j'aime autant avoir un fournisseur local, qui puisse arriver rapidement en cas de panne matérielle.
Stephane
On 26 Oct 2007 10:21:44 GMT, Stephane :
Le problème c'est trouver un bon partenaire pas frocément commercialement mais techniquement.
Dans mon cas, le problème c'est de trouver un partenaire tout court. J'habite au milieu de nulle part, et j'aime autant avoir un fournisseur local, qui puisse arriver rapidement en cas de panne matérielle.
Je suis en Vednée si t'es pas loin je peux te donner celui qi'on a retenu.
Stephane
On 26 Oct 2007 10:21:44 GMT, Stephane <stephane@surleforum.fr>:
Le problème c'est trouver un bon partenaire pas frocément
commercialement mais techniquement.
Dans mon cas, le problème c'est de trouver un partenaire tout court.
J'habite au milieu de nulle part, et j'aime autant avoir un
fournisseur local, qui puisse arriver rapidement en cas de panne
matérielle.
Je suis en Vednée si t'es pas loin je peux te donner celui qi'on a retenu.
Le problème c'est trouver un bon partenaire pas frocément commercialement mais techniquement.
Dans mon cas, le problème c'est de trouver un partenaire tout court. J'habite au milieu de nulle part, et j'aime autant avoir un fournisseur local, qui puisse arriver rapidement en cas de panne matérielle.
Je suis en Vednée si t'es pas loin je peux te donner celui qi'on a retenu.
Stephane
Eric Masson
Stephane writes:
'Lut,
Je suis en Vednée si t'es pas loin je peux te donner celui qi'on a retenu.
Ça peut m'intéresser, je suis sur St Gilles.
-- pardon mais je suis oblige de faire ce test ici, et pas sur fr.test -+- L2 in www.le-gnu.net - Bien prendre les gens pour des cons -+-
Stephane <stephane@surleforum.fr> writes:
'Lut,
Je suis en Vednée si t'es pas loin je peux te donner celui qi'on a
retenu.
Ça peut m'intéresser, je suis sur St Gilles.
--
pardon mais je suis oblige de faire ce test ici, et pas sur fr.test
-+- L2 in www.le-gnu.net - Bien prendre les gens pour des cons -+-
Donc, en gros, je suis bon pour monter un PC Linux à deux cartes Ethernet entre l'autocommutateur et le LAN,
Pas forcément besoin de deux cartes si le LAN supporte les VLAN.
quand les applicatifs PABX fonctionnent en client/serveur avec le serveur
deporté du PABX ie: PABX avec shell unix -> Windows 2003 serveur/Linux administré par le client -> Lan
on peut considérer que le client à une meilleure maitrise de sa securité ?.
Eric
Eric Razny
Le Sat, 27 Oct 2007 11:30:54 +0000, Eric Stern a écrit :
C'est bien ce qu'il m'avait semblé.
Donc, en gros, je suis bon pour monter un PC Linux à deux cartes Ethernet entre l'autocommutateur et le LAN,
Pas forcément besoin de deux cartes si le LAN supporte les VLAN.
quand les applicatifs PABX fonctionnent en client/serveur avec le serveur
deporté du PABX ie: PABX avec shell unix -> Windows 2003 serveur/Linux administré par le client -> Lan
on peut considérer que le client à une meilleure maitrise de sa securité ?.
Pour la suite j'appelle "serveur" ta "machine Windows 2003 serveur/Linux".
Ca dépend de ce qui tourne sur le serveur et si l'humain (je vais appeler comme ça le client humain, pour éviter la confusion client/serveur :) ) sait le gérer correctement.
Je suppose donc qu'il n'y a aucun accès possible PABX -> Lan et que tout passe par le server et que l'humain n'a pas de problème de gestion.
Si ton serveur ne fait que contrôler/filtrer les flux (de facto c'est un fw entre le PABX et le LAN). Par contre si le serveur fait tourner une application du fournisseur du PABX tu te retrouve dans la situation classique d'un exécutable potentiellement offensif qui tourne sur ton serveur, et tu ne peux donc raisonnablement accorder plus de confiance à ton serveur que ce que tu accordes comme confiance à ton fournisseur.
Dans mon cas mon IP-PABX est asterisk, géré à la mimine avec du SIP, du BRI et des passerelles GSM. Ca ne m'empêche pas de considérer cette machine comme offensive, ne serait-ce que parce qu'il y a de temps à autres des altertes de sécu inquiétantes sous asterisk.
Pour répondre à Fabien : pour des besoins limités (tu n'as pas des flux gigabits à filtrer) tu n'as pas besoin d'une grosse bécanne pour jouer les fw : un wrt54GL se trouve à moins de 60¤, port inclus chez amazon.fr par exemple, et avec un openwrt dessus tu es tranquille pour un moment, sans compter qu'en désactivant le wifi (comment ça c'est gaché? :) ) ça ne consomme pas grand chose.
Le Sat, 27 Oct 2007 11:30:54 +0000, Eric Stern a écrit :
C'est bien ce qu'il m'avait semblé.
Donc, en gros, je suis bon pour monter un PC Linux à deux cartes
Ethernet entre l'autocommutateur et le LAN,
Pas forcément besoin de deux cartes si le LAN supporte les VLAN.
quand les applicatifs PABX fonctionnent en client/serveur avec le serveur
deporté du PABX ie:
PABX avec shell unix -> Windows 2003 serveur/Linux administré par le
client -> Lan
on peut considérer que le client à une meilleure maitrise de sa securité ?.
Pour la suite j'appelle "serveur" ta "machine Windows 2003 serveur/Linux".
Ca dépend de ce qui tourne sur le serveur et si l'humain (je vais
appeler comme ça le client humain, pour éviter la confusion
client/serveur :) ) sait le gérer correctement.
Je suppose donc qu'il n'y a aucun accès possible PABX -> Lan et que tout
passe par le server et que l'humain n'a pas de problème de gestion.
Si ton serveur ne fait que contrôler/filtrer les flux (de facto c'est un
fw entre le PABX et le LAN). Par contre si le serveur fait tourner une
application du fournisseur du PABX tu te retrouve dans la situation
classique d'un exécutable potentiellement offensif qui tourne sur ton
serveur, et tu ne peux donc raisonnablement accorder plus de confiance à
ton serveur que ce que tu accordes comme confiance à ton fournisseur.
Dans mon cas mon IP-PABX est asterisk, géré à la mimine avec du SIP, du
BRI et des passerelles GSM. Ca ne m'empêche pas de considérer cette
machine comme offensive, ne serait-ce que parce qu'il y a de temps à
autres des altertes de sécu inquiétantes sous asterisk.
Pour répondre à Fabien : pour des besoins limités (tu n'as pas des
flux gigabits à filtrer) tu n'as pas besoin d'une grosse bécanne pour
jouer les fw : un wrt54GL se trouve à moins de 60¤, port inclus chez
amazon.fr par exemple, et avec un openwrt dessus tu es tranquille pour un
moment, sans compter qu'en désactivant le wifi (comment ça c'est gaché?
:) ) ça ne consomme pas grand chose.
Le Sat, 27 Oct 2007 11:30:54 +0000, Eric Stern a écrit :
C'est bien ce qu'il m'avait semblé.
Donc, en gros, je suis bon pour monter un PC Linux à deux cartes Ethernet entre l'autocommutateur et le LAN,
Pas forcément besoin de deux cartes si le LAN supporte les VLAN.
quand les applicatifs PABX fonctionnent en client/serveur avec le serveur
deporté du PABX ie: PABX avec shell unix -> Windows 2003 serveur/Linux administré par le client -> Lan
on peut considérer que le client à une meilleure maitrise de sa securité ?.
Pour la suite j'appelle "serveur" ta "machine Windows 2003 serveur/Linux".
Ca dépend de ce qui tourne sur le serveur et si l'humain (je vais appeler comme ça le client humain, pour éviter la confusion client/serveur :) ) sait le gérer correctement.
Je suppose donc qu'il n'y a aucun accès possible PABX -> Lan et que tout passe par le server et que l'humain n'a pas de problème de gestion.
Si ton serveur ne fait que contrôler/filtrer les flux (de facto c'est un fw entre le PABX et le LAN). Par contre si le serveur fait tourner une application du fournisseur du PABX tu te retrouve dans la situation classique d'un exécutable potentiellement offensif qui tourne sur ton serveur, et tu ne peux donc raisonnablement accorder plus de confiance à ton serveur que ce que tu accordes comme confiance à ton fournisseur.
Dans mon cas mon IP-PABX est asterisk, géré à la mimine avec du SIP, du BRI et des passerelles GSM. Ca ne m'empêche pas de considérer cette machine comme offensive, ne serait-ce que parce qu'il y a de temps à autres des altertes de sécu inquiétantes sous asterisk.
Pour répondre à Fabien : pour des besoins limités (tu n'as pas des flux gigabits à filtrer) tu n'as pas besoin d'une grosse bécanne pour jouer les fw : un wrt54GL se trouve à moins de 60¤, port inclus chez amazon.fr par exemple, et avec un openwrt dessus tu es tranquille pour un moment, sans compter qu'en désactivant le wifi (comment ça c'est gaché? :) ) ça ne consomme pas grand chose.
Nina Popravka
On 27 Oct 2007 14:09:49 GMT, Eric Razny wrote:
ne serait-ce que parce qu'il y a de temps à autres des altertes de sécu inquiétantes sous asterisk.
De quoi ça cause, une alerte de sécu inquiétante sous Asterisk ? -- Nina
On 27 Oct 2007 14:09:49 GMT, Eric Razny <news_01@razny.net> wrote:
ne serait-ce que parce qu'il y a de temps à
autres des altertes de sécu inquiétantes sous asterisk.
De quoi ça cause, une alerte de sécu inquiétante sous Asterisk ?
--
Nina
ne serait-ce que parce qu'il y a de temps à autres des altertes de sécu inquiétantes sous asterisk.
De quoi ça cause, une alerte de sécu inquiétante sous Asterisk ? -- Nina
Eric Stern
Eric Razny disait:
on peut considérer que le client à une meilleure maitrise de sa securité ?.
Pour la suite j'appelle "serveur" ta "machine Windows 2003 serveur/Linux".
Ca dépend de ce qui tourne sur le serveur et si l'humain (je vais appeler comme ça le client humain, pour éviter la confusion client/serveur :) ) sait le gérer correctement.
Je suppose donc qu'il n'y a aucun accès possible PABX -> Lan et que tout passe par le server et que l'humain n'a pas de problème de gestion. Par contre si le serveur fait tourner une application du fournisseur du PABX tu te retrouve dans la situation classique d'un exécutable potentiellement offensif qui tourne sur ton serveur, et tu ne peux donc raisonnablement accorder plus de confiance à ton serveur que ce que tu accordes comme confiance à ton fournisseur.
c'est de toute façon le cas de tout les logiciels utilisés en entreprise du serveur de mail,de fichier,etc ..... mais dans le cadre d'une protection d'attaque menée depuis le PABX,peut on considérer que c'est rassurant ?.
Eric
Eric
Eric Razny disait:
on peut considérer que le client à une meilleure maitrise de sa securité
?.
Pour la suite j'appelle "serveur" ta "machine Windows 2003 serveur/Linux".
Ca dépend de ce qui tourne sur le serveur et si l'humain (je vais
appeler comme ça le client humain, pour éviter la confusion
client/serveur :) ) sait le gérer correctement.
Je suppose donc qu'il n'y a aucun accès possible PABX -> Lan et que tout
passe par le server et que l'humain n'a pas de problème de gestion.
Par contre si le serveur fait tourner une
application du fournisseur du PABX tu te retrouve dans la situation
classique d'un exécutable potentiellement offensif qui tourne sur ton
serveur, et tu ne peux donc raisonnablement accorder plus de confiance à
ton serveur que ce que tu accordes comme confiance à ton fournisseur.
c'est de toute façon le cas de tout les logiciels utilisés en entreprise
du serveur de mail,de fichier,etc .....
mais dans le cadre d'une protection d'attaque menée depuis le PABX,peut on
considérer que c'est rassurant ?.
on peut considérer que le client à une meilleure maitrise de sa securité ?.
Pour la suite j'appelle "serveur" ta "machine Windows 2003 serveur/Linux".
Ca dépend de ce qui tourne sur le serveur et si l'humain (je vais appeler comme ça le client humain, pour éviter la confusion client/serveur :) ) sait le gérer correctement.
Je suppose donc qu'il n'y a aucun accès possible PABX -> Lan et que tout passe par le server et que l'humain n'a pas de problème de gestion. Par contre si le serveur fait tourner une application du fournisseur du PABX tu te retrouve dans la situation classique d'un exécutable potentiellement offensif qui tourne sur ton serveur, et tu ne peux donc raisonnablement accorder plus de confiance à ton serveur que ce que tu accordes comme confiance à ton fournisseur.
c'est de toute façon le cas de tout les logiciels utilisés en entreprise du serveur de mail,de fichier,etc ..... mais dans le cadre d'une protection d'attaque menée depuis le PABX,peut on considérer que c'est rassurant ?.
Eric
Eric
Eric Stern
Nina Popravka disait:
On 27 Oct 2007 14:09:49 GMT, Eric Razny wrote:
ne serait-ce que parce qu'il y a de temps à autres des altertes de sécu inquiétantes sous asterisk.
De quoi ça cause, une alerte de sécu inquiétante sous Asterisk ?
buffer overflow sur le protocole IAX (reseaux d'asterisk) ...
Nina Popravka disait:
On 27 Oct 2007 14:09:49 GMT, Eric Razny <news_01@razny.net> wrote:
ne serait-ce que parce qu'il y a de temps à
autres des altertes de sécu inquiétantes sous asterisk.
De quoi ça cause, une alerte de sécu inquiétante sous Asterisk ?
buffer overflow sur le protocole IAX (reseaux d'asterisk) ...
ne serait-ce que parce qu'il y a de temps à autres des altertes de sécu inquiétantes sous asterisk.
De quoi ça cause, une alerte de sécu inquiétante sous Asterisk ?
buffer overflow sur le protocole IAX (reseaux d'asterisk) ...
Fabien LE LEZ
On 27 Oct 2007 16:26:53 GMT, Eric Stern :
Par contre si le serveur fait tourner une application du fournisseur du PABX tu te retrouve dans la situation classique d'un exécutable potentiellement offensif qui tourne sur ton serveur,
c'est de toute façon le cas de tout les logiciels utilisés en entreprise du serveur de mail,de fichier,etc .....
Pas tout à fait. Si tu as un PABX + un serveur qui fait tourner une application fournie par le constructeur du PABX, le serveur devient une extension du PABX -- ou plutôt, le couple (serveur+PABX) devrait être considéré comme un seul élément indivisible, à qui tu peux faire confiance ou pas.
Par ailleurs, si tu as une machine Linux + Qmail, tu sais qu'une certaine attention a été portée sur la sécurité. C'est loin d'être fiable à 100 %, mais tu sais que les auteurs ont fait leur possible pour éviter que la machine ne soit ouverte comme un moulin. Dans le cas d'un logiciel opaque fourni par un constructeur de PABX, il est fort possible que le développeur n'ait tout simplement pas pensé à cet aspect.
On 27 Oct 2007 16:26:53 GMT, Eric Stern <xdv5@ragnarok.frmug.org>:
Par contre si le serveur fait tourner une
application du fournisseur du PABX tu te retrouve dans la situation
classique d'un exécutable potentiellement offensif qui tourne sur ton
serveur,
c'est de toute façon le cas de tout les logiciels utilisés en entreprise
du serveur de mail,de fichier,etc .....
Pas tout à fait. Si tu as un PABX + un serveur qui fait tourner une
application fournie par le constructeur du PABX, le serveur devient
une extension du PABX -- ou plutôt, le couple (serveur+PABX) devrait
être considéré comme un seul élément indivisible, à qui tu peux faire
confiance ou pas.
Par ailleurs, si tu as une machine Linux + Qmail, tu sais qu'une
certaine attention a été portée sur la sécurité. C'est loin d'être
fiable à 100 %, mais tu sais que les auteurs ont fait leur possible
pour éviter que la machine ne soit ouverte comme un moulin.
Dans le cas d'un logiciel opaque fourni par un constructeur de PABX,
il est fort possible que le développeur n'ait tout simplement pas
pensé à cet aspect.
Par contre si le serveur fait tourner une application du fournisseur du PABX tu te retrouve dans la situation classique d'un exécutable potentiellement offensif qui tourne sur ton serveur,
c'est de toute façon le cas de tout les logiciels utilisés en entreprise du serveur de mail,de fichier,etc .....
Pas tout à fait. Si tu as un PABX + un serveur qui fait tourner une application fournie par le constructeur du PABX, le serveur devient une extension du PABX -- ou plutôt, le couple (serveur+PABX) devrait être considéré comme un seul élément indivisible, à qui tu peux faire confiance ou pas.
Par ailleurs, si tu as une machine Linux + Qmail, tu sais qu'une certaine attention a été portée sur la sécurité. C'est loin d'être fiable à 100 %, mais tu sais que les auteurs ont fait leur possible pour éviter que la machine ne soit ouverte comme un moulin. Dans le cas d'un logiciel opaque fourni par un constructeur de PABX, il est fort possible que le développeur n'ait tout simplement pas pensé à cet aspect.
