Ca sert !

Guillaume Gielly wrote:

RAKOTOMALALA Renaud wrote:

Problème la machine est exposé à tous les problème de securité, la
machine devient à electron libre sur le réseau et pour le coups si un
cracker rentre sur la machine il contorune toutes les sécurités ...
Bravo.

Le cracker qui rentre dans la machine par le VPN en out, c'est sur TF1
ou dans les films.

Pour rentrer, il faut du tcp-in, or là on est sur de la sortie tcp (le
out donc; tcp/udp peut importe également). Mais, vous allez me dire, et
si c'est l'utilisateur qui par le biais de son VPN lance la connexion.
Dans ce cas, l'utilisateur est pirate volontaire du réseau et complice,
et veux tout saccager. Car dans l'idée, on va faire du point à point sur
ce vpn vers un serveur distant. Donc il faudrait que le serveur VPN
distant soit aussi compromis, qu'une machine tierce vienne se rajouter
au serveur VPN et se connecte, etc etc..

L'idée c'est justement que si la machine VPN située en dehors du réseau
est compromise alors le réseau local peut être compromis.
Lorsque l'utilisateur ouvre sa session il ouvre une porte grande ouverte
de/vers l'extérieur. Si la machine distante est compromise alors le
réseau local l'est.

</parano>
A mon avis, la paranoïa est la base de la sécurité.

Sérieusement, je doute que ce scénario arrive, même si Murphy peut se
glisser au milieu et que cela peut arriver oui, je ne nie pas ce fait.

Cela dit, trop de sécurité tue la sécurité, comme tu l'illustres avec le
cas de l'utilisateur qui mets un VPN ou un socks5 chez lui (par exemple).

Y a toujours moyen d'analyser ce qui passe dans chaque port pour
s'assurer que c'est bien ce que ca prétends être. Sinon utiliser un
système de proxis comme le propose Renaud.

cheers,

--
Antoine
thoane@altern.org

"Guillaume Gielly" <guillaume.gielly_pas.depub@nerim.isp> wrote in
message news:40aa4308$0$32169$626a14ce@news.free.fr

Ca permet à l'admin qui a la flemme, de ne pas s'embeter : politique du
'je-ferme-tout-je-suis-penard-au-moins'

Non, ca c'est l'admin qui fait de la sécurité. Je n'ouvre que ce qui
est strictement nécessaire. Faut pas confondre.

comme ça t'es sur que tes utilisateurs ils vont pas sur leur popd,
ntpd, ircd, httpsd, icqd et j'en passe...

Ce qui est à priori une bonen chose sur un réseau d'entreprise pour
ne pas voir arriver les derniers vers à la mode.

Bref. Bloquer, oui, tout non.

Ah bah oui, sinon, ca marche pu...

Après bien souvent, tout traffic est bloqué en sortie, mais en LAN tout
est accessible (DMZ?) de partout, donc c'est pas forcément mieux, voir
pire que tout : une fois dedans, le hax0r il transforme le LAN en Beyrouth.

La politique de sécurité s'applique de bout en bout, effectivement, si
tu blindes un coté et pas l'auter, ca pourra poser problème, mais
déjà, un admin qui fait son boulot d'un coté en sachant pourquoi, il
y a des chances qu'il le fasse bien aussi de l'autre.


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Généralement, personne n'est capable de prévoir à l'avance ce
qui sera nécessaire. Plus une politique de sécurité est stricte, et
plus les cas où l'administrateur devra "ouvrir" le bazar (= rajouter
une possibilité de communication) seront fréquents -- d'où
l'importance de la disponibilité de l'administrateur. Ou plutôt, _des_
administrateurs : si on a besoin d'une fonctionnalité non prévue
(comme mon exemple de transfert de fichiers, ou n'importe quoi
d'autre) et que le seul admin est en vacances pour un mois, on est
dans la merde...

1. Le postula qui dit que personne ne peut prevoir à l'avance ce qui
sera nécéssaire est faux !

Pourquoi ? Simplement car dans une organisation, et si on prend le cas
d'une entreprise, avant de changer ou mettre en place une politique de
sécurité, on fait ce que l'on appel "un audit".

Alors je ne suis pas là pour donner des leçons/cours (je n'aurais pas
une telle pretention) mais c'est le minimum avant d'intervenir, au même
titre de la redaction d'un cdc (decidement je me repète) quand one
développe un applicatif.

Alors si il n'est pas toujours facile lors d'un audit de determiner
certains éléments de manière deductive on mène une enquete auprès des
utilisateurs pour recueillir leur besoin ...

Bref un consultant ou une personne en charge de la securité connaitra
proablement l'activité (informatique) de chaque service beaucoup mieux
que quiconque.

2. Quand au concept si l'admin, si l'admin, si l'admin ..., et bien dans
une entreprise si il 'ny a qu'un administrateur (donc structure petite)
il a ce que l'on appel des astreintes, si il n'est pas en astreinte et
qu'il est en vacances il a un remplaçant qui aura ou n'aura pas les
pouvoirs nécéssaire.

Mais 1 ce problème n'est rien lié à la notion de politique de sécurité,
car si l'admin est en vacances et qu'un routeur tombe je ne pense pas
que le DG ou l'utilisateur lambda sera capable de remettre la situation
en route, et 2 je préfère embeter mes utilisateurs pendant un temps que
de devoir expliquer à mon DG que l'on a perdu la base de donnée du fait
d'une faille sur un des systèmes ayant permis l'entrée du cracker. Car
au passage juridiquement parlant l'administrateur à des responsabilité
qui peuvent lui tomber sur le coin de la tête, alors ce raisonnement qui
est plutot orienté user-friendly qu'administrateur peut se tenir, mais
dans ce cas là il faut être conscient des choses.

Et dans le cas du posteur original son admin peut avoir de très bonne
raison d'être strict, et c'est pourquoi j'ai réagi sur votre post
notamment à la lecture de:

"Bref. Bloquer, oui, tout non."

sans la moindre explication ni raisonnement.

Maintenant chaque administrateur et surtout responsable de la sécurité
prend les mesures qui lui paraissent nécéssaire et il les assume,
seulement juger sans comprendre est un peu trop facile à mon sens.

Cordialement,
--
RAKOTOMALALA RENAUD
W-CONSULTING http://www.w-consulting.fr
Librenet Network http://www.librenet.net
InsideNetworks http://www.insidenetworks.net

On Wed, 19 May 2004 22:32:31 +0200, RAKOTOMALALA Renaud
<renaud+news@w-consulting.fr> wrote:

je préfère embeter mes utilisateurs pendant un temps que
de devoir expliquer à mon DG que l'on a perdu la base de donnée du fait
d'une faille sur un des systèmes ayant permis l'entrée du cracker.

On ne perd jamais "la base de données", on ne perd que les dernières
modifications effectuées depuis le dernier backup, soit généralement
un ou deux jours de boulot[*]. C'est certes gênant, ça occasionne
vraisemblablement une perte sèche pour l'entreprise, mais ce n'est
tout de même pas une catastrophe majeure.


[*] Les entreprises où des backups quotidiens ne sont pas effectués,
n'ont de toutes façons pas de politique de sécurité, et sont
hors-sujet dans le présent thread.

--
;-)
FLL, Epagneul Breton

On Wed, 19 May 2004 22:32:31 +0200, RAKOTOMALALA Renaud
<renaud+news@w-consulting.fr> wrote:

On ne perd jamais "la base de données", on ne perd que les dernières
modifications effectuées depuis le dernier backup, soit généralement
un ou deux jours de boulot[*]. C'est certes gênant, ça occasionne
vraisemblablement une perte sèche pour l'entreprise, mais ce n'est
tout de même pas une catastrophe majeure.

Alors l'exemple fut très mal choisi, je te le concède, donc je vais te
donner un autre exemple et je conclurais pour ma part le sujet dessus
sachant qu'a partir d'ici il n'y a plus d'argument.

je préfère embêter mes utilisateurs pendant un temps que
de devoir expliquer à mon DG que la a confidentialité des informations
circulant sur le réseau fut compromise pendant une durée X (mot de
passe, information interne, etc ...) du fait d'une faille sur un des
systèmes ayant permis l'entrée du cracker.

Tu remarqueras que seul l'élément attaqué à varié, en rien les
explications que je doivent fournir à mes supérieurs.

PS: une perte de deux jours pour toi n'est pas importante pour d'autre
c'est vitale. Simple notion relative et propre à chacun.

Cdlt,
--
RAKOTOMALALA RENAUD
W-CONSULTING http://www.w-consulting.fr
Librenet Network http://www.librenet.net
InsideNetworks http://www.insidenetworks.net

On Wed, 19 May 2004 22:32:31 +0200, RAKOTOMALALA Renaud
<renaud+news@w-consulting.fr> wrote:

On ne perd jamais "la base de données", on ne perd que les dernières
modifications effectuées depuis le dernier backup, soit généralement
un ou deux jours de boulot[*]. C'est certes gênant, ça occasionne
vraisemblablement une perte sèche pour l'entreprise, mais ce n'est
tout de même pas une catastrophe majeure.

Alors l'exemple fut très mal choisi, je te le concède, donc je vais te
donner un autre exemple et je conclurais pour ma part le sujet dessus
sachant qu'a partir d'ici il n'y a plus d'argument.

je préfère embêter mes utilisateurs pendant un temps que
de devoir expliquer à mon DG que la a confidentialité des informations
circulant sur le réseau fut compromise pendant une durée X (mot de
passe, information interne, etc ...) du fait d'une faille sur un des
systèmes ayant permis l'entrée du cracker.

Tu remarqueras que seul l'élément attaqué à varié, en rien les
explications que je doivent fournir à mes supérieurs.

PS: une perte de deux jours pour toi n'est pas importante pour d'autre
c'est vitale. Simple notion relative et propre à chacun.

PS2: cette discution aurait été peut être plus fourni en detail sur
f.c.securite ou tu aurais pu avoir l'avis de d'autres personnes sur le
sujet.


Cdlt,
--
RAKOTOMALALA RENAUD
W-CONSULTING http://www.w-consulting.fr
Librenet Network http://www.librenet.net
InsideNetworks http://www.insidenetworks.net

Le cracker qui rentre dans la machine par le VPN en out, c'est sur TF1
ou dans les films.

Vous ferez certainement un bon responsable de sécurité, ca n'arrive qu'à
la télé ou chez les autres.

Pour rentrer, il faut du tcp-in, or là on est sur de la sortie tcp (le
out donc; tcp/udp peut importe également).

<troll>
Heu j'ai pas tres bien compris, je ne savais pas que dans le protocole
TCP il y avait un sens. Des fois je me dis que je devrais changer
d'activité :)
</troll>

Mais, vous allez me dire, et
si c'est l'utilisateur qui par le biais de son VPN lance la connexion.
Dans ce cas, l'utilisateur est pirate volontaire du réseau et complice,
et veux tout saccager. Car dans l'idée, on va faire du point à point sur
ce vpn vers un serveur distant. Donc il faudrait que le serveur VPN
distant soit aussi compromis, qu'une machine tierce vienne se rajouter
au serveur VPN et se connecte, etc etc..

</parano>

Excuse moi du peu, mais si en temps qu'admin je peux garantir la
securité de mon réseau, pourquoi je ferais confiance à un utilisateur
(qui est si ca se trouve un simple comptabe qui à lu "VPN pour les nul
(c)") etc ... etc ...

1. pour être un peu plus clair, tu ne sais pas qui etabli le tunnel, tu
ne sais pas ou, tu ne sais pas sur quel technologie, tu ne connais pas
le tot d'exposition du serveur vpn, tu ne sais même pas si le tunnel et
fait avec du nat ou en ip public

2. Je pense en ecrivant ces lignes que ton invention de tcp-in/tcp-out
est basé sur la notion du NAT. A savoir que pour l'utilisateur moyen un
VPN ne s'etabli que sur IP privé. Hors rien ne m'empeche d'etablir le
dit lien avec des IP public, ce qui signifie que la machine client (du
serveur VPN) sera directement joignable. Si tu es sur du NAT
effectivement le client VPN ne sera pas directement joignable. Sauf si
justement la machine serveur est compromise (et excuse moi du peu, mais
vu le nombre de machine infecté par des virus/worm etc ... Je doute que
faire confiance à mon utilisateur lambda soit très sage ...)

Sérieusement, je doute que ce scénario arrive, même si Murphy peut se
glisser au milieu et que cela peut arriver oui, je ne nie pas ce fait.

Cela dit, trop de sécurité tue la sécurité, comme tu l'illustres avec le
cas de l'utilisateur qui mets un VPN ou un socks5 chez lui (par exemple).

C'est notamment pour celà que l'on parle de politique de sécurité (cf
mon autre poste) et que ma réaction fut conditionné explicitement par,
et je te cite:

"Bref. Bloquer, oui, tout non. "

Alors excuse moi mais une phrase comme celle-ci est fausse. En
environnement securisé pour une raison X ou Y il peut être nécéssaire de
faire "j'interdit tout ce qui n'est pas autorisé" est tout à fait
justifié et donc en contradiction avec ta citation.

Quant à l'adage qui dit trop de sécurité tue la sécurité, excuse moi,
mais il n'y a pas de *trop* si la situation l'implique. Maintenant un
tel niveau de sécurité pour mon réseau domestique me posera plus de
problème qu'autre chose.

Cdlt,
--
RAKOTOMALALA RENAUD
W-CONSULTING http://www.w-consulting.fr
Librenet Network http://www.librenet.net
InsideNetworks http://www.insidenetworks.net

Benoit Tourret wrote:

Mais faut pas tout fermer non plus !!

Moi je ne peux plus acceder à un site https à partir de mon serveur car
la Fac a fermé le port 443 hi hi hi

je ne peux pas me synchroniser à une source de temps car le port 123 est
fermé. ha ha ha

Tiens, j'en profite pour rebondir sur ton post:

pourquoi tant d'admin réseaux ferment tant de port en sortie ???
en entrée, je comprends, mais en sortie ...
Bonne politique de sécurité : tout ce qui n'est pas expressément autorisé

est interdit.
Qui est une version politiquement correcte du
"tout-est-fermé-sauf-pour-le-patron-au-moins-je-suis-peinard" d'un article
supra.

A+

--
email : usenet blas net

RAKOTOMALALA Renaud wrote:
<snip>

Pourquoi ? Simplement car dans une organisation, et si on prend le cas
d'une entreprise, avant de changer ou mettre en place une politique de
sécurité, on fait ce que l'on appel "un audit".

Alors je ne suis pas là pour donner des leçons/cours (je n'aurais pas
une telle pretention) mais c'est le minimum avant d'intervenir, au même
titre de la redaction d'un cdc (decidement je me repète) quand one
développe un applicatif.

Bonjour,

En extreme programming tu ne fais pas de cahier des charges par exemple,
tu commences à coder directement et tu patch au fur et à mesure des
besoins / problèmes.

On pourrait imaginer la même chose en sécurité: tout bloquer au départ
et débloquer au fur et à mesure ;)

--
Antoine

Antoine:

En extreme programming tu ne fais pas de cahier des charges par exemple,
tu commences à coder directement et tu patch au fur et à mesure des
besoins / problèmes.

Attention aux contre-sens - Extreme Programming ne recommande pas de
"patcher", ça c'est plutôt le développement artisanal tel qu'on le
connaît trop. Voir la référence pour plus de détails:
http://www.amazon.fr/exec/obidos/ASIN/2212110510

Le "cahier des charges" existe en XP et se rédige au cours du projet, il
est même très rigoureux puisqu'il s'agit de tests automatisés qui
vérifient que l'applicatif est correct. Il est exact par contre qu'on
n'attend pas qu'il soit complet pour commencer l'implémentation.

La partie d'XP qui serait applicable en matière de sécurité, c'est celle
qui consiste à ouvrir un vrai dialogue avec les utilisateurs pour savoir
ce qu'est vraiment le besoin, en prenant en compte la communauté la plus
large possible.

Laurent
http://bossavit.com/