Enoncé rapide d'un probleme digne de la quadrature du cercle en sécu.
On envisage de faire heberger des serveurs (pas du web, du business:
serveurs de calculs et autres) chez un operateur. Les sus-dites machines
seraient reliées chez nous via une fibre optique qui arriverait dans une
DMZ.
Bon autant on arrive a trouver des solutions pour "a peu pres" garantir
la secu du réseau (ie eviter que quelqu'un de l'hébergeur ne se plug sur
notre réseau sans que ca se voie). Autant c'est assez difficile d'avoir
un bon niveau de secu sur les machines.
Ie c'est pas evident de garantir un minimum d'integrité, des machines
(un ssh c'est bien, mais vu que les disques sont chez l'hebergeur, c'est
relativement trivial de copié les clés sur les serveurs pour ensuite
remplacer ledit serveur pour un man in the middle ou autre).
Donc je me demandais si dans cette quete il existerait des outils qui
peuvent aider, des Tripwire magique ou d'autres ....
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Kevin Denis
Le 28-09-2005, DarkSboub a écrit :
Bonsoir messieurs & dames,
Enoncé rapide d'un probleme digne de la quadrature du cercle en sécu.
On envisage de faire heberger des serveurs (pas du web, du business: serveurs de calculs et autres) chez un operateur. Les sus-dites machines seraient reliées chez nous via une fibre optique qui arriverait dans une DMZ.
hebergeur --fibre optique --societe
| | LAN ? serveurs.
c'est ca?
Bon autant on arrive a trouver des solutions pour "a peu pres" garantir la secu du réseau (ie eviter que quelqu'un de l'hébergeur ne se plug sur notre réseau sans que ca se voie). Autant c'est assez difficile d'avoir un bon niveau de secu sur les machines.
Ie c'est pas evident de garantir un minimum d'integrité, des machines (un ssh c'est bien, mais vu que les disques sont chez l'hebergeur, c'est relativement trivial de copié les clés sur les serveurs pour ensuite remplacer ledit serveur pour un man in the middle ou autre).
Donc je me demandais si dans cette quete il existerait des outils qui peuvent aider, des Tripwire magique ou d'autres ....
Peu d'espoir mais au cas ou ...
Et contractuellement, qu'est ce qu'on te propose? C'est vers cette
piste que je creuserais.
Parceque si on part du postulat que l'hebergeur est le "mechant", ca me parait un peu illusoire d'esperer quoi que ce soit niveau securite.
Si tu as confiance en l'hebergeur, tu pourras commencer a t'interesser aux problematiques reseaux, alimentations, integrite/accessibilite des donnees, etc.. -- Kevin
Le 28-09-2005, DarkSboub <news.20.captopervers@spamgourmet.com> a écrit :
Bonsoir messieurs & dames,
Enoncé rapide d'un probleme digne de la quadrature du cercle en sécu.
On envisage de faire heberger des serveurs (pas du web, du business:
serveurs de calculs et autres) chez un operateur. Les sus-dites machines
seraient reliées chez nous via une fibre optique qui arriverait dans une
DMZ.
hebergeur --fibre optique --societe
| |
LAN ? serveurs.
c'est ca?
Bon autant on arrive a trouver des solutions pour "a peu pres" garantir
la secu du réseau (ie eviter que quelqu'un de l'hébergeur ne se plug sur
notre réseau sans que ca se voie). Autant c'est assez difficile d'avoir
un bon niveau de secu sur les machines.
Ie c'est pas evident de garantir un minimum d'integrité, des machines
(un ssh c'est bien, mais vu que les disques sont chez l'hebergeur, c'est
relativement trivial de copié les clés sur les serveurs pour ensuite
remplacer ledit serveur pour un man in the middle ou autre).
Donc je me demandais si dans cette quete il existerait des outils qui
peuvent aider, des Tripwire magique ou d'autres ....
Peu d'espoir mais au cas ou ...
Et contractuellement, qu'est ce qu'on te propose? C'est vers cette
piste que je creuserais.
Parceque si on part du postulat que l'hebergeur est le "mechant", ca
me parait un peu illusoire d'esperer quoi que ce soit niveau securite.
Si tu as confiance en l'hebergeur, tu pourras commencer a t'interesser
aux problematiques reseaux, alimentations, integrite/accessibilite des
donnees, etc..
--
Kevin
Enoncé rapide d'un probleme digne de la quadrature du cercle en sécu.
On envisage de faire heberger des serveurs (pas du web, du business: serveurs de calculs et autres) chez un operateur. Les sus-dites machines seraient reliées chez nous via une fibre optique qui arriverait dans une DMZ.
hebergeur --fibre optique --societe
| | LAN ? serveurs.
c'est ca?
Bon autant on arrive a trouver des solutions pour "a peu pres" garantir la secu du réseau (ie eviter que quelqu'un de l'hébergeur ne se plug sur notre réseau sans que ca se voie). Autant c'est assez difficile d'avoir un bon niveau de secu sur les machines.
Ie c'est pas evident de garantir un minimum d'integrité, des machines (un ssh c'est bien, mais vu que les disques sont chez l'hebergeur, c'est relativement trivial de copié les clés sur les serveurs pour ensuite remplacer ledit serveur pour un man in the middle ou autre).
Donc je me demandais si dans cette quete il existerait des outils qui peuvent aider, des Tripwire magique ou d'autres ....
Peu d'espoir mais au cas ou ...
Et contractuellement, qu'est ce qu'on te propose? C'est vers cette
piste que je creuserais.
Parceque si on part du postulat que l'hebergeur est le "mechant", ca me parait un peu illusoire d'esperer quoi que ce soit niveau securite.
Si tu as confiance en l'hebergeur, tu pourras commencer a t'interesser aux problematiques reseaux, alimentations, integrite/accessibilite des donnees, etc.. -- Kevin
DarkSboub
Kevin Denis wrote:
On envisage de faire heberger des serveurs (pas du web, du business: serveurs de calculs et autres) chez un operateur. Les sus-dites machines seraient reliées chez nous via une fibre optique qui arriverait dans une DMZ.
hebergeur --fibre optique --societe | | LAN ? serveurs.
c'est ca?
NOUS ---FW----fibre-------( Société d'hebergement ) ---- Nos serveurs
Bon autant on arrive a trouver des solutions pour "a peu pres" garantir la secu du réseau (ie eviter que quelqu'un de l'hébergeur ne se plug sur notre réseau sans que ca se voie). Autant c'est assez difficile d'avoir un bon niveau de secu sur les machines.
On aimerait que cela soit extrement compliqué de remplacer nos machines par un clone (man in the middle), ou de modifier le contenu de nos machines sans que l'on soit prevenu.
On sait bien qu'on ne peut pas les proteger étant physiquement en territoire hostile, mais on aimerait pouvoir mettre en place une surveillance telle que modifier, remplacer, plugger une machine clonée soit detectée.
Peu d'espoir mais au cas ou ...
Et contractuellement, qu'est ce qu'on te propose? C'est vers cette piste que je creuserais.
Barf ca c'est pas fixé encore, mais bon ca sera un espace d'hebergement grillagé avec entrée controlé etc etc, le switch sur lequel debouchera la FO chez l'hbergeur et auquels sera connecté nos machines et à nous et sous notre seul controle.
Parceque si on part du postulat que l'hebergeur est le "mechant", ca me parait un peu illusoire d'esperer quoi que ce soit niveau securite.
On sait qu'on ne peu pas empecher, on veut "juste" etre prevenu :)
Si tu as confiance en l'hebergeur, tu pourras commencer a t'interesser aux problematiques reseaux, alimentations, integrite/accessibilite des donnees, etc..
Y'aura dans un premier temps pas données persistantes (c'est des clusters de calculs), mais le resultats des calculs meme s'il n'est pas gardé sur la machine est sensible.
Y'a pas un soft qui calcule une sorte d'empreinte de la machine à partir de ces composants soft et hard qui pourrait nous aider ?
Kevin Denis wrote:
On envisage de faire heberger des serveurs (pas du web, du business:
serveurs de calculs et autres) chez un operateur. Les sus-dites machines
seraient reliées chez nous via une fibre optique qui arriverait dans une
DMZ.
hebergeur --fibre optique --societe
| |
LAN ? serveurs.
c'est ca?
NOUS ---FW----fibre-------( Société d'hebergement ) ---- Nos serveurs
Bon autant on arrive a trouver des solutions pour "a peu pres" garantir
la secu du réseau (ie eviter que quelqu'un de l'hébergeur ne se plug sur
notre réseau sans que ca se voie). Autant c'est assez difficile d'avoir
un bon niveau de secu sur les machines.
On aimerait que cela soit extrement compliqué de remplacer nos machines
par un clone (man in the middle), ou de modifier le contenu de nos
machines sans que l'on soit prevenu.
On sait bien qu'on ne peut pas les proteger étant physiquement en
territoire hostile, mais on aimerait pouvoir mettre en place une
surveillance telle que modifier, remplacer, plugger une machine clonée
soit detectée.
Peu d'espoir mais au cas ou ...
Et contractuellement, qu'est ce qu'on te propose? C'est vers cette
piste que je creuserais.
Barf ca c'est pas fixé encore, mais bon ca sera un espace d'hebergement
grillagé avec entrée controlé etc etc, le switch sur lequel debouchera
la FO chez l'hbergeur et auquels sera connecté nos machines et à nous et
sous notre seul controle.
Parceque si on part du postulat que l'hebergeur est le "mechant", ca
me parait un peu illusoire d'esperer quoi que ce soit niveau securite.
On sait qu'on ne peu pas empecher, on veut "juste" etre prevenu :)
Si tu as confiance en l'hebergeur, tu pourras commencer a t'interesser
aux problematiques reseaux, alimentations, integrite/accessibilite des
donnees, etc..
Y'aura dans un premier temps pas données persistantes (c'est des
clusters de calculs), mais le resultats des calculs meme s'il n'est pas
gardé sur la machine est sensible.
Y'a pas un soft qui calcule une sorte d'empreinte de la machine à partir
de ces composants soft et hard qui pourrait nous aider ?
On envisage de faire heberger des serveurs (pas du web, du business: serveurs de calculs et autres) chez un operateur. Les sus-dites machines seraient reliées chez nous via une fibre optique qui arriverait dans une DMZ.
hebergeur --fibre optique --societe | | LAN ? serveurs.
c'est ca?
NOUS ---FW----fibre-------( Société d'hebergement ) ---- Nos serveurs
Bon autant on arrive a trouver des solutions pour "a peu pres" garantir la secu du réseau (ie eviter que quelqu'un de l'hébergeur ne se plug sur notre réseau sans que ca se voie). Autant c'est assez difficile d'avoir un bon niveau de secu sur les machines.
On aimerait que cela soit extrement compliqué de remplacer nos machines par un clone (man in the middle), ou de modifier le contenu de nos machines sans que l'on soit prevenu.
On sait bien qu'on ne peut pas les proteger étant physiquement en territoire hostile, mais on aimerait pouvoir mettre en place une surveillance telle que modifier, remplacer, plugger une machine clonée soit detectée.
Peu d'espoir mais au cas ou ...
Et contractuellement, qu'est ce qu'on te propose? C'est vers cette piste que je creuserais.
Barf ca c'est pas fixé encore, mais bon ca sera un espace d'hebergement grillagé avec entrée controlé etc etc, le switch sur lequel debouchera la FO chez l'hbergeur et auquels sera connecté nos machines et à nous et sous notre seul controle.
Parceque si on part du postulat que l'hebergeur est le "mechant", ca me parait un peu illusoire d'esperer quoi que ce soit niveau securite.
On sait qu'on ne peu pas empecher, on veut "juste" etre prevenu :)
Si tu as confiance en l'hebergeur, tu pourras commencer a t'interesser aux problematiques reseaux, alimentations, integrite/accessibilite des donnees, etc..
Y'aura dans un premier temps pas données persistantes (c'est des clusters de calculs), mais le resultats des calculs meme s'il n'est pas gardé sur la machine est sensible.
Y'a pas un soft qui calcule une sorte d'empreinte de la machine à partir de ces composants soft et hard qui pourrait nous aider ?
Fabien LE LEZ
On 30 Sep 2005 17:17:41 GMT, DarkSboub :
Y'a pas un soft qui calcule une sorte d'empreinte de la machine à partir de ces composants soft et hard qui pourrait nous aider ?
A priori, si un "hébergeur méchant" remplace ta machine par un clone, le clone saura au minimum simuler les mêmes numéros de série des composants, non ? Un peu comme quand on veut se faire passer pour quelqu'un d'autre sur un réseau, on prend son adresse MAC.
À vue de nez, la seule solution que je vois, c'est un composant (matériel) de cryptage, monté de telle sorte qu'il serait détruit si on essaie d'ouvrir la machine.
Ça ne serait pas plus simple d'héberger les machines en interne, plutôt que de dérouler du câble pour aller les mettre dans un endroit insuffisamment sécurisé ?
On 30 Sep 2005 17:17:41 GMT, DarkSboub
<news.20.captopervers@spamgourmet.com>:
Y'a pas un soft qui calcule une sorte d'empreinte de la machine à partir
de ces composants soft et hard qui pourrait nous aider ?
A priori, si un "hébergeur méchant" remplace ta machine par un clone,
le clone saura au minimum simuler les mêmes numéros de série des
composants, non ?
Un peu comme quand on veut se faire passer pour quelqu'un d'autre sur
un réseau, on prend son adresse MAC.
À vue de nez, la seule solution que je vois, c'est un composant
(matériel) de cryptage, monté de telle sorte qu'il serait détruit si
on essaie d'ouvrir la machine.
Ça ne serait pas plus simple d'héberger les machines en interne,
plutôt que de dérouler du câble pour aller les mettre dans un endroit
insuffisamment sécurisé ?
Y'a pas un soft qui calcule une sorte d'empreinte de la machine à partir de ces composants soft et hard qui pourrait nous aider ?
A priori, si un "hébergeur méchant" remplace ta machine par un clone, le clone saura au minimum simuler les mêmes numéros de série des composants, non ? Un peu comme quand on veut se faire passer pour quelqu'un d'autre sur un réseau, on prend son adresse MAC.
À vue de nez, la seule solution que je vois, c'est un composant (matériel) de cryptage, monté de telle sorte qu'il serait détruit si on essaie d'ouvrir la machine.
Ça ne serait pas plus simple d'héberger les machines en interne, plutôt que de dérouler du câble pour aller les mettre dans un endroit insuffisamment sécurisé ?
