Certains ici ont tentés de m'eSpliquer comment il est pas possible de
filtrer les flux, trop de charge toussa, sans vraiment a voir donné d'autres
explication technique que celle que "eux" connaissent le fonctionnement
d'internet et sans avoir le moins du monde rebondit que la répartition de
charge et la mutualisation que représente la technologie a la mode que l'on
nomme le Cloud ...
D'autres, agaces par cette perspective qui pourrait leur donner du boulot
(ce qui les empêcherait de jouer a l'helicoptere dans les couloirs), ont
préférés se moquer.
Je rappelle mon point de vue :
- L'internet devrait être filtré, soit depuis les noeuds majeurs soit depuis
les serveurs des FAI. Cela nettoierait ce qui parvient a notre prise
gigogne** et serait sans doute plus efficace que les misérables applications
clientes que l'on installe sur chaque poste.
** Gigogne car je parle de la France bien sur.
Et bien je suis heureux de vous faire part de ce lien
http://cert.lexsi.com/weblog/index.php/2010/11/05/396-filtrage-2-les-initiatives-de-filtrages-de-malware-par-les-fai
qui indique que je ne suis pas le seul a le penser ;-)
C'est juste dommage que ces grands esprits ne pense qu' en faire une
récupération commerciale (service payant) et que des techniciens "inventent"
des "pop-up pour prévenir le client du FAI qu'il est infecté" de la même
façon que le font des rogues comme la très célèbre série des Win Antivirus
et plus récemment les truc genre registry booster qui inquiètent
l'utilisateur pour lui faire acheter le produit en échange d'une promesse de
nettoyage.
Enfin les rogues ne sont pas nouveau, c'est juste pour donner 1 exemple...
L'idée d'un internet limité, voire scindé en réseaux parallèles et
distincts, est peut être une solution.
Par exemple, tout ce qui est pilotage d'appareils électro
ménager/alarmes/vidéo surveillance ne devrait pas être interconnecté au
reste de l'internet comme le web ou la messagerie qui représentent l'immense
majorité des usage de l'internet pour les particuliers.
De même il ressort de cet article que la tendance est de "dire au client
qu'il est infecté". Personnellement je ne suis pas d'accord, pour être
infectée, la machine du client a reçu les codes malicieux que le FAI lui a
transmis ! Or cela revient a lui dire qu'il est coupable et que c'est a lui
de prendre en charge nettoyage et protection.
C'est l'inverse qui est vrai : le responsable n'est pas l'utilisateur final,
avec son savoir au mieux parcellaire et ses outils, au mieux abordables,
mais celui qui délivre le paquet.
Imagine t on que les avions transporteraient des explosifs dans leurs soutes
?
Dommage, la suite était intéressante. Je suis d'accord que la politique de sécurité par l'obscurité n'est pas efficace. Mais elle a l'avantage d'éliminer rapidement les candidats peu sérieux.
Répondre que l'accès est refusé sur un bruteforce ssh ou apache résultera en un flood massif de ton ssh par tous les abrutis qui font des bruteforces par dictionnaire, entraînant une saturation des logs, les gugus allant quand même finir leurs dictionnaires. Avec le risque (déjà vécu) d'avoir un log SSH de plus de 10.000 tentatives vouées à l'échec avec UNE tentative d'un plus gros pirate qui s'est attaqué aux clés SSH corrompues de Debian. L'admin système n'a pas fait attention au 1 parmis 10.000 en lisant les logs et n'a pas réagi, heureusement sans conséquence. Eliminer directement le gros du trafic qui n'a aucune chance de passer pour ne se concentrer que sur les quelques attaques dangeureuses, voila l'intérêt du black-hole: ceux qui daigneront aller chercher plus loin que la non- réponse auront gagné toute mon attention, les autres ne représenteront que peu de risques pour mon système. Le black-hole n'est pas un système de sécurité, juste de filtrage.
Sachant en plus que penser être à l'abris ne veut pas dire ne pas continuer à surveiller son système. Mon pare-feu a beau avoir fait ses preuves que je continue à lire les syslog, le rapport snort ou logwatch, à exécuter rkhunter ou autre bestiole de ce type, à titre préventif, et que j'ai toujours un fail2ban d'actif malgré que mon ssh n'est pas sensé être accessible depuis l'extérieur et protégé par une clé SSH de 4096 bits avec les connexions par mot de passe désactivées.
Stephane CARPENTIER wrote:
Bon, je laisse tomber, je ne lis pas la suite.
Dommage, la suite était intéressante.
Je suis d'accord que la politique de sécurité par l'obscurité n'est pas
efficace.
Mais elle a l'avantage d'éliminer rapidement les candidats peu sérieux.
Répondre que l'accès est refusé sur un bruteforce ssh ou apache résultera en
un flood massif de ton ssh par tous les abrutis qui font des bruteforces par
dictionnaire, entraînant une saturation des logs, les gugus allant quand
même finir leurs dictionnaires.
Avec le risque (déjà vécu) d'avoir un log SSH de plus de 10.000 tentatives
vouées à l'échec avec UNE tentative d'un plus gros pirate qui s'est attaqué
aux clés SSH corrompues de Debian. L'admin système n'a pas fait attention au
1 parmis 10.000 en lisant les logs et n'a pas réagi, heureusement sans
conséquence.
Eliminer directement le gros du trafic qui n'a aucune chance de passer pour
ne se concentrer que sur les quelques attaques dangeureuses, voila l'intérêt
du black-hole: ceux qui daigneront aller chercher plus loin que la non-
réponse auront gagné toute mon attention, les autres ne représenteront que
peu de risques pour mon système.
Le black-hole n'est pas un système de sécurité, juste de filtrage.
Sachant en plus que penser être à l'abris ne veut pas dire ne pas continuer
à surveiller son système.
Mon pare-feu a beau avoir fait ses preuves que je continue à lire les
syslog, le rapport snort ou logwatch, à exécuter rkhunter ou autre bestiole
de ce type, à titre préventif, et que j'ai toujours un fail2ban d'actif
malgré que mon ssh n'est pas sensé être accessible depuis l'extérieur et
protégé par une clé SSH de 4096 bits avec les connexions par mot de passe
désactivées.
Dommage, la suite était intéressante. Je suis d'accord que la politique de sécurité par l'obscurité n'est pas efficace. Mais elle a l'avantage d'éliminer rapidement les candidats peu sérieux.
Répondre que l'accès est refusé sur un bruteforce ssh ou apache résultera en un flood massif de ton ssh par tous les abrutis qui font des bruteforces par dictionnaire, entraînant une saturation des logs, les gugus allant quand même finir leurs dictionnaires. Avec le risque (déjà vécu) d'avoir un log SSH de plus de 10.000 tentatives vouées à l'échec avec UNE tentative d'un plus gros pirate qui s'est attaqué aux clés SSH corrompues de Debian. L'admin système n'a pas fait attention au 1 parmis 10.000 en lisant les logs et n'a pas réagi, heureusement sans conséquence. Eliminer directement le gros du trafic qui n'a aucune chance de passer pour ne se concentrer que sur les quelques attaques dangeureuses, voila l'intérêt du black-hole: ceux qui daigneront aller chercher plus loin que la non- réponse auront gagné toute mon attention, les autres ne représenteront que peu de risques pour mon système. Le black-hole n'est pas un système de sécurité, juste de filtrage.
Sachant en plus que penser être à l'abris ne veut pas dire ne pas continuer à surveiller son système. Mon pare-feu a beau avoir fait ses preuves que je continue à lire les syslog, le rapport snort ou logwatch, à exécuter rkhunter ou autre bestiole de ce type, à titre préventif, et que j'ai toujours un fail2ban d'actif malgré que mon ssh n'est pas sensé être accessible depuis l'extérieur et protégé par une clé SSH de 4096 bits avec les connexions par mot de passe désactivées.
Az Sam
"Aeris" a écrit dans le message de news:4cfb8ee7$0$18750$
Sans parler que Free devrait faire du DPI à l'entrée de son réseau mais que Wanadoo aussi. Un client Free qui chatterait par MSN avec un client Wanadoo verrait ses paquets DPIser 2 fois, et en réalité bien pus que ça (DPI entre Free et le point de peering avec les USA, 1 DPI par FAI intermédiaires aux USA pour arriver sur les serveurs MSN, 1 DPI par FAI jusqu'au point de peering avec Wanadoo, 1 DPI sur le point de peering Wanadoo, et rebelote pour la réponse).
tatouage.
-- Cordialement, Az Sam.
"Aeris" <aeris@imirhil.fr> a écrit dans le message de
news:4cfb8ee7$0$18750$426a74cc@news.free.fr...
Sans parler que Free devrait faire du DPI à l'entrée de son réseau mais
que
Wanadoo aussi. Un client Free qui chatterait par MSN avec un client
Wanadoo
verrait ses paquets DPIser 2 fois, et en réalité bien pus que ça (DPI
entre
Free et le point de peering avec les USA, 1 DPI par FAI intermédiaires aux
USA pour arriver sur les serveurs MSN, 1 DPI par FAI jusqu'au point de
peering avec Wanadoo, 1 DPI sur le point de peering Wanadoo, et rebelote
pour la réponse).
"Aeris" a écrit dans le message de news:4cfb8ee7$0$18750$
Sans parler que Free devrait faire du DPI à l'entrée de son réseau mais que Wanadoo aussi. Un client Free qui chatterait par MSN avec un client Wanadoo verrait ses paquets DPIser 2 fois, et en réalité bien pus que ça (DPI entre Free et le point de peering avec les USA, 1 DPI par FAI intermédiaires aux USA pour arriver sur les serveurs MSN, 1 DPI par FAI jusqu'au point de peering avec Wanadoo, 1 DPI sur le point de peering Wanadoo, et rebelote pour la réponse).
tatouage.
-- Cordialement, Az Sam.
Aeris
Az Sam wrote:
tatouage.
Cool Encore un truc que les pirates vont se faire une joie de contourner! Et le premier FAI vérolé va contaminer tous les autres en faisant transiter des paquets tatoués non DPIser…
Az Sam wrote:
tatouage.
Cool
Encore un truc que les pirates vont se faire une joie de contourner!
Et le premier FAI vérolé va contaminer tous les autres en faisant transiter
des paquets tatoués non DPIser…
Cool Encore un truc que les pirates vont se faire une joie de contourner! Et le premier FAI vérolé va contaminer tous les autres en faisant transiter des paquets tatoués non DPIser…
Roland GARCIA
Le 05/12/2010 16:25, Aeris a écrit :
Roland GARCIA wrote:
ça équivaut à "mort aux cons"
Non, ça équivaut à « les maisons d'éditions font des cons » Un simple manuel d'utilisation avec ces quelques règles de bons sens dans chaque carton de PC permettrait un minimum de sécurité. Mais forcément, commencer à parler de botnet, virus, malwares et autres firewall et antivirus dès la vente d'un PC va à l'encontre de la politique commerciale « c'est accessible à tout le monde » et « ça marche dès sortie de la boîte » et autres « vous n'avez plus rien à faire et à vous occuper »
Mouarf, prenons quelques échantillons tout à fait au hasard et choisis dans un milieu sensibilisé à la sécurité, voyons ce que ça donne:
Non, ça équivaut à « les maisons d'éditions font des cons »
Un simple manuel d'utilisation avec ces quelques règles de bons sens dans
chaque carton de PC permettrait un minimum de sécurité.
Mais forcément, commencer à parler de botnet, virus, malwares et autres
firewall et antivirus dès la vente d'un PC va à l'encontre de la politique
commerciale « c'est accessible à tout le monde » et « ça marche dès sortie
de la boîte » et autres « vous n'avez plus rien à faire et à vous occuper »
Mouarf, prenons quelques échantillons tout à fait au hasard et choisis
dans un milieu sensibilisé à la sécurité, voyons ce que ça donne:
Non, ça équivaut à « les maisons d'éditions font des cons » Un simple manuel d'utilisation avec ces quelques règles de bons sens dans chaque carton de PC permettrait un minimum de sécurité. Mais forcément, commencer à parler de botnet, virus, malwares et autres firewall et antivirus dès la vente d'un PC va à l'encontre de la politique commerciale « c'est accessible à tout le monde » et « ça marche dès sortie de la boîte » et autres « vous n'avez plus rien à faire et à vous occuper »
Mouarf, prenons quelques échantillons tout à fait au hasard et choisis dans un milieu sensibilisé à la sécurité, voyons ce que ça donne:
Parce que beaucoup de sociétés totalement étrangères à l'informatique (les médias par exemple) font exactement les mêmes erreurs que Madame Michu: penser que l'informatique c'est simple et qu'on peut tout faire tout seul. Pire, beaucoup estiment qu'un site internet doit être fait par une boîte de com' ou de design et non par une vraie société d'informatique voire de sécurité. Sans parler de la prédominance du Flash parce que sinon « le web c'est moche » et qu'ils veulent de jolis effets, des bordures toutes arrondies ou des transitions dignes des meilleurs effets spéciaux de Star Treck, ce qui est tout sauf du web. Une fois encore le mélange des genres et la non-compréhension de ce qu'est l'informatique en général et Internet en particulier et ce que ça peut et ne peut pas faire conduisent à mettre totalement de côté le moindre début de mise en place de politique de sécurité.
Après je l'ai déjà dis, je suis d'accord que le risque 0 n'existe pas.
Roland GARCIA wrote:
Mouarf, prenons quelques échantillons tout à fait au hasard et choisis
dans un milieu sensibilisé à la sécurité, voyons ce que ça donne:
Parce que beaucoup de sociétés totalement étrangères à l'informatique (les
médias par exemple) font exactement les mêmes erreurs que Madame Michu:
penser que l'informatique c'est simple et qu'on peut tout faire tout seul.
Pire, beaucoup estiment qu'un site internet doit être fait par une boîte de
com' ou de design et non par une vraie société d'informatique voire de
sécurité.
Sans parler de la prédominance du Flash parce que sinon « le web c'est moche
» et qu'ils veulent de jolis effets, des bordures toutes arrondies ou des
transitions dignes des meilleurs effets spéciaux de Star Treck, ce qui est
tout sauf du web.
Une fois encore le mélange des genres et la non-compréhension de ce qu'est
l'informatique en général et Internet en particulier et ce que ça peut et ne
peut pas faire conduisent à mettre totalement de côté le moindre début de
mise en place de politique de sécurité.
Après je l'ai déjà dis, je suis d'accord que le risque 0 n'existe pas.
Parce que beaucoup de sociétés totalement étrangères à l'informatique (les médias par exemple) font exactement les mêmes erreurs que Madame Michu: penser que l'informatique c'est simple et qu'on peut tout faire tout seul. Pire, beaucoup estiment qu'un site internet doit être fait par une boîte de com' ou de design et non par une vraie société d'informatique voire de sécurité. Sans parler de la prédominance du Flash parce que sinon « le web c'est moche » et qu'ils veulent de jolis effets, des bordures toutes arrondies ou des transitions dignes des meilleurs effets spéciaux de Star Treck, ce qui est tout sauf du web. Une fois encore le mélange des genres et la non-compréhension de ce qu'est l'informatique en général et Internet en particulier et ce que ça peut et ne peut pas faire conduisent à mettre totalement de côté le moindre début de mise en place de politique de sécurité.
Après je l'ai déjà dis, je suis d'accord que le risque 0 n'existe pas.
Roland GARCIA
Le 05/12/2010 17:19, Aeris a écrit :
Une fois encore le mélange des genres et la non-compréhension de ce qu'est l'informatique en général et Internet en particulier et ce que ça peut et ne peut pas faire conduisent à mettre totalement de côté le moindre début de mise en place de politique de sécurité.
Et ça se soigne comment ? car en la matière seul le résultat compte.
-- Roland Garcia
Le 05/12/2010 17:19, Aeris a écrit :
Une fois encore le mélange des genres et la non-compréhension de ce qu'est
l'informatique en général et Internet en particulier et ce que ça peut et ne
peut pas faire conduisent à mettre totalement de côté le moindre début de
mise en place de politique de sécurité.
Et ça se soigne comment ? car en la matière seul le résultat compte.
Une fois encore le mélange des genres et la non-compréhension de ce qu'est l'informatique en général et Internet en particulier et ce que ça peut et ne peut pas faire conduisent à mettre totalement de côté le moindre début de mise en place de politique de sécurité.
Et ça se soigne comment ? car en la matière seul le résultat compte.
-- Roland Garcia
Thierry Herbelot
Erwan David wrote:
"Az Sam" écrivait :
tu reves... ton courier aussi l'est et heureusement.
C'est structement interdit et heureusement. Toi tu rèves de vivre dans un état policier au nom d'une pseudo sécurité. Pas moi.
apr ailleurs, et un epu dans la même veine, il semblerait que certains aient accès _en_temps_réel_ aux factures de carte bancaire, et ceci sans que des juges aient leur mot à dire*.
donc état policier, toussa, ... c'est comme l'histoire de la grenouille qu'on met dans de l'eau froide et qui ne se rend pas compte que la température augmente : quels sont les arguments juridiques pour faire sauter Wikileaks des serveurs OVH ?
tu reves... ton courier aussi l'est et heureusement.
C'est structement interdit et heureusement. Toi tu rèves de vivre dans
un état policier au nom d'une pseudo sécurité. Pas moi.
apr ailleurs, et un epu dans la même veine, il semblerait que certains aient
accès _en_temps_réel_ aux factures de carte bancaire, et ceci sans que des
juges aient leur mot à dire*.
donc état policier, toussa, ... c'est comme l'histoire de la grenouille
qu'on met dans de l'eau froide et qui ne se rend pas compte que la
température augmente : quels sont les arguments juridiques pour faire sauter
Wikileaks des serveurs OVH ?
tu reves... ton courier aussi l'est et heureusement.
C'est structement interdit et heureusement. Toi tu rèves de vivre dans un état policier au nom d'une pseudo sécurité. Pas moi.
apr ailleurs, et un epu dans la même veine, il semblerait que certains aient accès _en_temps_réel_ aux factures de carte bancaire, et ceci sans que des juges aient leur mot à dire*.
donc état policier, toussa, ... c'est comme l'histoire de la grenouille qu'on met dans de l'eau froide et qui ne se rend pas compte que la température augmente : quels sont les arguments juridiques pour faire sauter Wikileaks des serveurs OVH ?
Je pense que c'est le problème de fond de toutes ces discussions. Si un OS comme Windows n'avait (je considère que ça s'améliore) pas mis une petite fenêtre à chaque porte par laquelle il suffit de passer le bras pour ouvrir la porte, on en serait pas là.
Je pense que c'est plus simple et pire que ça. La sécurité informatique est vue par bon nombre comme un paquet de choses à rajouter pour se protéger.
Tout est fait à l'envers. Quand il y a un trou, on monte un mur, un trou à côté un bout de mur en plus... Au lieu d'ouvrir des portes et des fenêtres dans des murs, on installe des portes et des fenêtres en ajoutant des murs si besoin est.
Au premier abord c'est plus simple pour l'utilisateur qui découvre puisque tout fonctionne en réseau sans avoir à réfléchir ou cliquer sur un bouton dans un dialogue de réglage de préférence planqué dans un coin. In fine l'utilisateur se voit installer des tonnes de trucs en plus pour bricoler ce qui devrait être conçu par défaut.
-- Benoît http://www.duvallois.com/
Avec des fumeurs c'est difficile de s'arrêter. Avec des branleurs, là, par contre, c'est difficile de continuer.
Benoit Izac <use.reply.to@INVALID.ADDRESS> wrote:
Je pense que c'est le problème de fond de toutes ces discussions. Si un
OS comme Windows n'avait (je considère que ça s'améliore) pas mis une
petite fenêtre à chaque porte par laquelle il suffit de passer le bras
pour ouvrir la porte, on en serait pas là.
Je pense que c'est plus simple et pire que ça. La sécurité
informatique est vue par bon nombre comme un paquet de choses à rajouter
pour se protéger.
Tout est fait à l'envers. Quand il y a un trou, on monte un mur,
un trou à côté un bout de mur en plus... Au lieu d'ouvrir des portes et
des fenêtres dans des murs, on installe des portes et des fenêtres en
ajoutant des murs si besoin est.
Au premier abord c'est plus simple pour l'utilisateur qui
découvre puisque tout fonctionne en réseau sans avoir à réfléchir ou
cliquer sur un bouton dans un dialogue de réglage de préférence planqué
dans un coin. In fine l'utilisateur se voit installer des tonnes de
trucs en plus pour bricoler ce qui devrait être conçu par défaut.
--
Benoît http://www.duvallois.com/
Avec des fumeurs c'est difficile de s'arrêter. Avec des branleurs,
là, par contre, c'est difficile de continuer.
Je pense que c'est le problème de fond de toutes ces discussions. Si un OS comme Windows n'avait (je considère que ça s'améliore) pas mis une petite fenêtre à chaque porte par laquelle il suffit de passer le bras pour ouvrir la porte, on en serait pas là.
Je pense que c'est plus simple et pire que ça. La sécurité informatique est vue par bon nombre comme un paquet de choses à rajouter pour se protéger.
Tout est fait à l'envers. Quand il y a un trou, on monte un mur, un trou à côté un bout de mur en plus... Au lieu d'ouvrir des portes et des fenêtres dans des murs, on installe des portes et des fenêtres en ajoutant des murs si besoin est.
Au premier abord c'est plus simple pour l'utilisateur qui découvre puisque tout fonctionne en réseau sans avoir à réfléchir ou cliquer sur un bouton dans un dialogue de réglage de préférence planqué dans un coin. In fine l'utilisateur se voit installer des tonnes de trucs en plus pour bricoler ce qui devrait être conçu par défaut.
-- Benoît http://www.duvallois.com/
Avec des fumeurs c'est difficile de s'arrêter. Avec des branleurs, là, par contre, c'est difficile de continuer.
