1. sa présence est "détectable" (je pense qu'un pro poura noter sa présence)
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? (faille de secu dans la pile TCP/IP?)
Question subsidaire: un P200 ça peut tenir le coup avec un
snort-inline (ou apparenté) sur de l'ADSL 4460/512 Kbps(FreeBSD)?
1. sa présence est "détectable" (je pense qu'un pro poura noter sa présence)
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? (faille de secu dans la pile TCP/IP?)
Question subsidaire: un P200 ça peut tenir le coup avec un
snort-inline (ou apparenté) sur de l'ADSL 4460/512 Kbps(FreeBSD)?
1. sa présence est "détectable" (je pense qu'un pro poura noter sa présence)
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? (faille de secu dans la pile TCP/IP?)
Question subsidaire: un P200 ça peut tenir le coup avec un
snort-inline (ou apparenté) sur de l'ADSL 4460/512 Kbps(FreeBSD)?
1. sa présence est "détectable" (je pense qu'un pro poura noter sa présence)
2. est-il possible d'en prendre le contrôle autrement qu'en acces physique?
(faille de secu dans la pile TCP/IP?)
1. sa présence est "détectable" (je pense qu'un pro poura noter sa présence)
2. est-il possible d'en prendre le contrôle autrement qu'en acces physique?
(faille de secu dans la pile TCP/IP?)
1. sa présence est "détectable" (je pense qu'un pro poura noter sa présence)
2. est-il possible d'en prendre le contrôle autrement qu'en acces physique?
(faille de secu dans la pile TCP/IP?)
Le Thu, 03 Nov 2005 19:02:59 +0000, MaXX a écrit :
[Pont filtrant sans IP]1. sa présence est "détectable" [...]
Oui, puisqu'il applique aux flux réseau des contraintes qui
n'existeraient pas sans lui. On va donc voir des paquets disparaître dans
raison, ou des retours avec une TTL pas cohérente avec les observations,
pour ne citer que les cas les plus évidents.
C'est bien ce qui me semblait...
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? [...]
Personne n'a jusqu'à aujourd'hui mis en exergue une faille exploitable
sur une pile réseau. Mais ce n'est théoriquement pas impossible.Question subsidaire: un P200 ça peut tenir le coup avec un
snort-inline (ou apparenté) sur de l'ADSL 4460/512 Kbps(FreeBSD)?
Pour ceux qui veulent faire tourner Snort Inline (développé pour
iptables, donc Linux) avec ipfw :
http://freebsd.rogness.net/snort_inline/
Genial, je viens d'y jeter un oeil et c'est ce qu'il me faut... Je vais
Le Thu, 03 Nov 2005 19:02:59 +0000, MaXX a écrit :
[Pont filtrant sans IP]
1. sa présence est "détectable" [...]
Oui, puisqu'il applique aux flux réseau des contraintes qui
n'existeraient pas sans lui. On va donc voir des paquets disparaître dans
raison, ou des retours avec une TTL pas cohérente avec les observations,
pour ne citer que les cas les plus évidents.
C'est bien ce qui me semblait...
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? [...]
Personne n'a jusqu'à aujourd'hui mis en exergue une faille exploitable
sur une pile réseau. Mais ce n'est théoriquement pas impossible.
Question subsidaire: un P200 ça peut tenir le coup avec un
snort-inline (ou apparenté) sur de l'ADSL 4460/512 Kbps(FreeBSD)?
Pour ceux qui veulent faire tourner Snort Inline (développé pour
iptables, donc Linux) avec ipfw :
http://freebsd.rogness.net/snort_inline/
Genial, je viens d'y jeter un oeil et c'est ce qu'il me faut... Je vais
Le Thu, 03 Nov 2005 19:02:59 +0000, MaXX a écrit :
[Pont filtrant sans IP]1. sa présence est "détectable" [...]
Oui, puisqu'il applique aux flux réseau des contraintes qui
n'existeraient pas sans lui. On va donc voir des paquets disparaître dans
raison, ou des retours avec une TTL pas cohérente avec les observations,
pour ne citer que les cas les plus évidents.
C'est bien ce qui me semblait...
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? [...]
Personne n'a jusqu'à aujourd'hui mis en exergue une faille exploitable
sur une pile réseau. Mais ce n'est théoriquement pas impossible.Question subsidaire: un P200 ça peut tenir le coup avec un
snort-inline (ou apparenté) sur de l'ADSL 4460/512 Kbps(FreeBSD)?
Pour ceux qui veulent faire tourner Snort Inline (développé pour
iptables, donc Linux) avec ipfw :
http://freebsd.rogness.net/snort_inline/
Genial, je viens d'y jeter un oeil et c'est ce qu'il me faut... Je vais
Salut,1. sa présence est "détectable" ?[...]
Selon la configuration, ca pourrait être detectable dans un traceroute
par exemple (ca dépend si les paquets sont routés ou pas ==>
decrementation du TTL).
Je m'en doutais, mais en fait comme le pont est "IP less" il ne fera que 3
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? [...]
Pas si la machine est bien blindée et sous reserve d'absence de
failles... ce qu'on ne peut "garantir". Mais faut pas non plus être
parano... on ne va pas te sortir un 0day si tu n'as rien de trés grande
"valeur" dans ta machine.
Je me suis débarassé du concept de "donnée de valeur" sur mes machines, mais
Je ne sais pas ce que ca vaut, mais tu pourrais tester la "root plug"
apparue dans le kernel 2.6 de Linux: le kernel detecte la présence ou
l'absence d'un certain peripherique USB, et en son absence aucun
processus ne peut être lancé en root (par contre ceux déjà lancés le
restent).
ça semble intéressant, mais on fait comment en cas de coupure de secteur? Ca
@+
Bertrand
Salut,
1. sa présence est "détectable" ?[...]
Selon la configuration, ca pourrait être detectable dans un traceroute
par exemple (ca dépend si les paquets sont routés ou pas ==>
decrementation du TTL).
Je m'en doutais, mais en fait comme le pont est "IP less" il ne fera que 3
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? [...]
Pas si la machine est bien blindée et sous reserve d'absence de
failles... ce qu'on ne peut "garantir". Mais faut pas non plus être
parano... on ne va pas te sortir un 0day si tu n'as rien de trés grande
"valeur" dans ta machine.
Je me suis débarassé du concept de "donnée de valeur" sur mes machines, mais
Je ne sais pas ce que ca vaut, mais tu pourrais tester la "root plug"
apparue dans le kernel 2.6 de Linux: le kernel detecte la présence ou
l'absence d'un certain peripherique USB, et en son absence aucun
processus ne peut être lancé en root (par contre ceux déjà lancés le
restent).
ça semble intéressant, mais on fait comment en cas de coupure de secteur? Ca
@+
Bertrand
Salut,1. sa présence est "détectable" ?[...]
Selon la configuration, ca pourrait être detectable dans un traceroute
par exemple (ca dépend si les paquets sont routés ou pas ==>
decrementation du TTL).
Je m'en doutais, mais en fait comme le pont est "IP less" il ne fera que 3
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? [...]
Pas si la machine est bien blindée et sous reserve d'absence de
failles... ce qu'on ne peut "garantir". Mais faut pas non plus être
parano... on ne va pas te sortir un 0day si tu n'as rien de trés grande
"valeur" dans ta machine.
Je me suis débarassé du concept de "donnée de valeur" sur mes machines, mais
Je ne sais pas ce que ca vaut, mais tu pourrais tester la "root plug"
apparue dans le kernel 2.6 de Linux: le kernel detecte la présence ou
l'absence d'un certain peripherique USB, et en son absence aucun
processus ne peut être lancé en root (par contre ceux déjà lancés le
restent).
ça semble intéressant, mais on fait comment en cas de coupure de secteur? Ca
@+
Bertrand
ou des retours avec une TTL pas cohérente avec les observations,
pour ne citer que les cas les plus évidents.
ou des retours avec une TTL pas cohérente avec les observations,
pour ne citer que les cas les plus évidents.
ou des retours avec une TTL pas cohérente avec les observations,
pour ne citer que les cas les plus évidents.
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? (faille de secu dans la pile TCP/IP?)
Personne n'a jusqu'à aujourd'hui mis en exergue une faille exploitable
sur une pile réseau. Mais ce n'est théoriquement pas impossible.
Et l'histoire du DOS sur la pile IP microsoft, ca n'a rien donne?
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? (faille de secu dans la pile TCP/IP?)
Personne n'a jusqu'à aujourd'hui mis en exergue une faille exploitable
sur une pile réseau. Mais ce n'est théoriquement pas impossible.
Et l'histoire du DOS sur la pile IP microsoft, ca n'a rien donne?
2. est-il possible d'en prendre le contrôle autrement qu'en acces
physique? (faille de secu dans la pile TCP/IP?)
Personne n'a jusqu'à aujourd'hui mis en exergue une faille exploitable
sur une pile réseau. Mais ce n'est théoriquement pas impossible.
Et l'histoire du DOS sur la pile IP microsoft, ca n'a rien donne?
Je m'en doutais, mais en fait comme le pont est "IP less" il ne fera que 3
actions possible pour les paquets entrants:
- Rejet
[...]
ça semble intéressant, mais on fait comment en cas de coupure de secteur? Ca
s'active après le boot la protection?
J'ai bien l'intention de m'offrir un UPS pour ma Noël mais il va déjà avoir
du boulot avec mon serveur (un Netfinity 7000M10 qui n'avais rien à faire
dans une benne à ordure)...
Je m'en doutais, mais en fait comme le pont est "IP less" il ne fera que 3
actions possible pour les paquets entrants:
- Rejet
[...]
ça semble intéressant, mais on fait comment en cas de coupure de secteur? Ca
s'active après le boot la protection?
J'ai bien l'intention de m'offrir un UPS pour ma Noël mais il va déjà avoir
du boulot avec mon serveur (un Netfinity 7000M10 qui n'avais rien à faire
dans une benne à ordure)...
Je m'en doutais, mais en fait comme le pont est "IP less" il ne fera que 3
actions possible pour les paquets entrants:
- Rejet
[...]
ça semble intéressant, mais on fait comment en cas de coupure de secteur? Ca
s'active après le boot la protection?
J'ai bien l'intention de m'offrir un UPS pour ma Noël mais il va déjà avoir
du boulot avec mon serveur (un Netfinity 7000M10 qui n'avais rien à faire
dans une benne à ordure)...
Et l'histoire du DOS sur la pile IP microsoft, ca n'a rien donne?
Et l'histoire du DOS sur la pile IP microsoft, ca n'a rien donne?
Et l'histoire du DOS sur la pile IP microsoft, ca n'a rien donne?
Salut,
Salut,
Je m'en doutais, mais en fait comme le pont est "IP less" il ne fera que
3 actions possible pour les paquets entrants:
- Rejet
[...]
Ca reste detectable, puisque ça rejette, comme l'a souligné Cedric
Blancher. Mais le fait d'être détectable ne gène en rien au niveau
securité. Et de toute façon, la sécurité par l'obscurité, c'est mal(tm).
D'accord avec l'aspect sécurité, mais le post de Eric Lalitte (TTL pour du
ça semble intéressant, mais on fait comment en cas de coupure de secteur?
Ca s'active après le boot la protection?
Excellente question :)
J'ai regardé le code source du module (simplissime), et dés qu'il est
chargé il active la protection (à chaque fois que un process est chargé
en egid=0, le module verifie la présence d'un periphérique USB donné; si
le péripherique est absent, l'execution est annulée).
Tu peux donc le charger en dernier, une fois que le système a booté, et
le système pourra démarrer tranquilement. A tester !
Le principe en tout cas semble être vraiment pas mal en tout cas...
Sinon à cet instant je suis entrain de monter une machine serveur que je
souhaite securiser relativement bien (dans mes moyens quoi), j'ai choisi
une Debian Stable, un kernel 2.4.31, et grsecurity,
[...]
Peut etre que tu pourrais partir sur un schema similaire ?
J'y compte bien, mais, si possible, sous FreeBSD. Je ne suis pas aussi
Avec toujours une bonne surveillance des logs et des découvertes de
vulnérabilités, ca devrait assez bien tenir.
C'est le premier truc que je fait après avoir fait couler le café le matin
J'ai bien l'intention de m'offrir un UPS pour ma Noël mais il va déjà
avoir du boulot avec mon serveur (un Netfinity 7000M10 qui n'avais rien à
faire dans une benne à ordure)...
Si tu mets un onduleur sur le serveur il en faut un sur ton switch
"intelligent" aussi, sinon de toute façon le reseau tombe et il ne sert
donc plus à rien de protéger le serveur (sauf pour éviter tout problème
de pertes de données).
PostgreSQL n'aime pas les coupures, et j'aime pas restore (sauf quand y'a
Il y a en effet IMHO deux stratégies pour l'onduleur: la stratégie de la
continuité de service, et la stratégie de préservation de l'integrité de
l'infrastructure (c'est bien pompeux tout ça).
Bah, ça le fait devant des néophite/membres du C.A., le simple fait de caser
La première stratégie consiste à limiter l'impact de la coupure
d'alimentation vis à vis des services offerts par le système, et donc si
possible de garder l'alimentation pendant toute la coupure.
La seconde stratégie consiste simplement à avoir assez d'autonomie pour
avoir juste le temps de couper les machines proprement et donc d'éviter
toute dégradation matérielle ou "logicielle" (perte de données par
exemple).
En fait je me demande comment implémenter un truc SOL (Sleep On LAN) pour
Salut,
Salut,
Je m'en doutais, mais en fait comme le pont est "IP less" il ne fera que
3 actions possible pour les paquets entrants:
- Rejet
[...]
Ca reste detectable, puisque ça rejette, comme l'a souligné Cedric
Blancher. Mais le fait d'être détectable ne gène en rien au niveau
securité. Et de toute façon, la sécurité par l'obscurité, c'est mal(tm).
D'accord avec l'aspect sécurité, mais le post de Eric Lalitte (TTL pour du
ça semble intéressant, mais on fait comment en cas de coupure de secteur?
Ca s'active après le boot la protection?
Excellente question :)
J'ai regardé le code source du module (simplissime), et dés qu'il est
chargé il active la protection (à chaque fois que un process est chargé
en egid=0, le module verifie la présence d'un periphérique USB donné; si
le péripherique est absent, l'execution est annulée).
Tu peux donc le charger en dernier, une fois que le système a booté, et
le système pourra démarrer tranquilement. A tester !
Le principe en tout cas semble être vraiment pas mal en tout cas...
Sinon à cet instant je suis entrain de monter une machine serveur que je
souhaite securiser relativement bien (dans mes moyens quoi), j'ai choisi
une Debian Stable, un kernel 2.4.31, et grsecurity,
[...]
Peut etre que tu pourrais partir sur un schema similaire ?
J'y compte bien, mais, si possible, sous FreeBSD. Je ne suis pas aussi
Avec toujours une bonne surveillance des logs et des découvertes de
vulnérabilités, ca devrait assez bien tenir.
C'est le premier truc que je fait après avoir fait couler le café le matin
J'ai bien l'intention de m'offrir un UPS pour ma Noël mais il va déjà
avoir du boulot avec mon serveur (un Netfinity 7000M10 qui n'avais rien à
faire dans une benne à ordure)...
Si tu mets un onduleur sur le serveur il en faut un sur ton switch
"intelligent" aussi, sinon de toute façon le reseau tombe et il ne sert
donc plus à rien de protéger le serveur (sauf pour éviter tout problème
de pertes de données).
PostgreSQL n'aime pas les coupures, et j'aime pas restore (sauf quand y'a
Il y a en effet IMHO deux stratégies pour l'onduleur: la stratégie de la
continuité de service, et la stratégie de préservation de l'integrité de
l'infrastructure (c'est bien pompeux tout ça).
Bah, ça le fait devant des néophite/membres du C.A., le simple fait de caser
La première stratégie consiste à limiter l'impact de la coupure
d'alimentation vis à vis des services offerts par le système, et donc si
possible de garder l'alimentation pendant toute la coupure.
La seconde stratégie consiste simplement à avoir assez d'autonomie pour
avoir juste le temps de couper les machines proprement et donc d'éviter
toute dégradation matérielle ou "logicielle" (perte de données par
exemple).
En fait je me demande comment implémenter un truc SOL (Sleep On LAN) pour
Salut,
Salut,
Je m'en doutais, mais en fait comme le pont est "IP less" il ne fera que
3 actions possible pour les paquets entrants:
- Rejet
[...]
Ca reste detectable, puisque ça rejette, comme l'a souligné Cedric
Blancher. Mais le fait d'être détectable ne gène en rien au niveau
securité. Et de toute façon, la sécurité par l'obscurité, c'est mal(tm).
D'accord avec l'aspect sécurité, mais le post de Eric Lalitte (TTL pour du
ça semble intéressant, mais on fait comment en cas de coupure de secteur?
Ca s'active après le boot la protection?
Excellente question :)
J'ai regardé le code source du module (simplissime), et dés qu'il est
chargé il active la protection (à chaque fois que un process est chargé
en egid=0, le module verifie la présence d'un periphérique USB donné; si
le péripherique est absent, l'execution est annulée).
Tu peux donc le charger en dernier, une fois que le système a booté, et
le système pourra démarrer tranquilement. A tester !
Le principe en tout cas semble être vraiment pas mal en tout cas...
Sinon à cet instant je suis entrain de monter une machine serveur que je
souhaite securiser relativement bien (dans mes moyens quoi), j'ai choisi
une Debian Stable, un kernel 2.4.31, et grsecurity,
[...]
Peut etre que tu pourrais partir sur un schema similaire ?
J'y compte bien, mais, si possible, sous FreeBSD. Je ne suis pas aussi
Avec toujours une bonne surveillance des logs et des découvertes de
vulnérabilités, ca devrait assez bien tenir.
C'est le premier truc que je fait après avoir fait couler le café le matin
J'ai bien l'intention de m'offrir un UPS pour ma Noël mais il va déjà
avoir du boulot avec mon serveur (un Netfinity 7000M10 qui n'avais rien à
faire dans une benne à ordure)...
Si tu mets un onduleur sur le serveur il en faut un sur ton switch
"intelligent" aussi, sinon de toute façon le reseau tombe et il ne sert
donc plus à rien de protéger le serveur (sauf pour éviter tout problème
de pertes de données).
PostgreSQL n'aime pas les coupures, et j'aime pas restore (sauf quand y'a
Il y a en effet IMHO deux stratégies pour l'onduleur: la stratégie de la
continuité de service, et la stratégie de préservation de l'integrité de
l'infrastructure (c'est bien pompeux tout ça).
Bah, ça le fait devant des néophite/membres du C.A., le simple fait de caser
La première stratégie consiste à limiter l'impact de la coupure
d'alimentation vis à vis des services offerts par le système, et donc si
possible de garder l'alimentation pendant toute la coupure.
La seconde stratégie consiste simplement à avoir assez d'autonomie pour
avoir juste le temps de couper les machines proprement et donc d'éviter
toute dégradation matérielle ou "logicielle" (perte de données par
exemple).
En fait je me demande comment implémenter un truc SOL (Sleep On LAN) pour
En fait je me demande comment implémenter un truc SOL (Sleep On LAN) pour
envoyer gentillement au dodo les deux bécannes d'un coup...
En fait je me demande comment implémenter un truc SOL (Sleep On LAN) pour
envoyer gentillement au dodo les deux bécannes d'un coup...
En fait je me demande comment implémenter un truc SOL (Sleep On LAN) pour
envoyer gentillement au dodo les deux bécannes d'un coup...