Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Sécurité Sécurité Sécurité Tester la securite d'un serveur

Tester la securite d'un serveur

24 réponses
Avatar
Arnaud
Bonjour,

Je suis dans une petite société qui vient d'investir dans un serveur
pour héberger nous-même notre site. Le problème, c'est que personne
n'est vraiment calé en matière de sécurité et on voudrait tout de même
se débrouiller seuls plutôt que de dépenser une fortune pour un audit et
la solution qui irait avec.

Ma question est : comment vérifier depuis l'extérieur que notre serveur
est "bien" protégé ?

Je pourrais m'amuser à récupérer quelques outils que les SK utilisent
mais bon... ça risque de faire pas mal de trucs à chercher et au final,
j'aurais vraiment pas testé à fond... donc, on oublie cette solution...
sans compter que je me méfierai de ce genre d'outils car on ne sait
jamais ce que ça peut contenir !!!

J'ai aussi vu que des sites permettaient de tester les ports d'un
ordinateur mais cela me pose deux problèmes :
- est-ce suffisant ? (je pense que non)
- qu'est-ce qui me garantis que les infos collectées pour le test ne
servent pas derrière à trouver des cibles potentielles ? (je sais, c'est
un peu de la parano mais je préfère rester prudent ! si ça avait été
pour ma machine perso, ça ne m'aurait pas dérangé : je teste, je me
déconnecte et je me reconnecte et plus de soucis car mon IP aura (en
principe) changé... Mais là, avec un serveur (en IP fixe donc), j'ai
quelques craintes...)

Merci de vos conseils en tout genre (liens vers des outils, des
articles, des ouvrages... Bref, tout ce qui peut m'aider !)

Arnaud
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3
Avatar
Matthieu
Arnaud wrote:

Bonjour,


Merci de vos conseils en tout genre (liens vers des outils, des
articles, des ouvrages... Bref, tout ce qui peut m'aider !)

Arnaud



bonjour,

tu peux peut etre aller voir du coté de www.security-space.com
tu peux peut etre aussi t'installer un linux sur ton lan et tester les
vulnerabilités connues avec nessus...


--
-----------------------------------------------
Matthieu

pour une reponse par email, enlevez le .invalid
for an email answer, please remove the .invalid
-----------------------------------------------

Avatar
Pierre LALET
Bonjour,

Arnaud wrote:
Je suis dans une petite société qui vient d'investir dans un serveur
pour héberger nous-même notre site. Le problème, c'est que personne
n'est vraiment calé en matière de sécurité et on voudrait tout de même
se débrouiller seuls plutôt que de dépenser une fortune pour un audit et
la solution qui irait avec.


C'est marrant ça... perso, je ne suis pas calé en mécanique, et donc je
m'en remets à des professionnels pour son entretien. Et pour la sécurité
ce n'est pas pareil ? Vous pensez-vraiment qu'une personne "pas vraiment
calée" (pas du tout à en juger par la suite de votre mail) pourra faire
aussi bien qu'un "pro" ?
Bon, évidemment, dans ce domaine comme dans les autres, attention aux
escrocs. En fait, attention aux commerciaux ;-)

Ma question est : comment vérifier depuis l'extérieur que notre serveur
est "bien" protégé ?


Je suppose, sans payer ?

Je pourrais m'amuser à récupérer quelques outils que les SK utilisent
mais bon... ça risque de faire pas mal de trucs à chercher et au final,
j'aurais vraiment pas testé à fond... donc, on oublie cette solution...
sans compter que je me méfierai de ce genre d'outils car on ne sait
jamais ce que ça peut contenir !!!


En effet.

J'ai aussi vu que des sites permettaient de tester les ports d'un
ordinateur mais cela me pose deux problèmes :
- est-ce suffisant ? (je pense que non)


bien vu.

- qu'est-ce qui me garantis que les infos collectées pour le test ne
servent pas derrière à trouver des cibles potentielles ? (je sais, c'est
un peu de la parano mais je préfère rester prudent ! si ça avait été
pour ma machine perso, ça ne m'aurait pas dérangé : je teste, je me
déconnecte et je me reconnecte et plus de soucis car mon IP aura (en
principe) changé... Mais là, avec un serveur (en IP fixe donc), j'ai
quelques craintes...)


Ce n'est pas être parano. Je le suis bien plus que ça, et je ne suis pas
parano. En fait, ce serait être con que de ne pas y penser.

pierre

--
Pierre LALET -- Droids Corporation
-- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E

Avatar
Eric Belhomme
Arnaud wrote in
news:3fb12909$0$13273$:

Merci de vos conseils en tout genre (liens vers des outils, des
articles, des ouvrages... Bref, tout ce qui peut m'aider !)

bonjour,


je pense que tu abordes le probleme par le mauvais coté... les outils
permettantde _valider_ une politique de sécurité existent bel et bien
(nmap, nessus,...) mais ce ne sont que des outils, et il ne servent uqe
pour la _validation_ d'un travail de sécurisation effectué en amont !

Donc; sécuriser un serveur, c'est d'abord :
- définir quels sont les services a offrir ,
- installer un système minimaliste, avec le MINIMUM vital
- vérifier qu'aucun service supreflux n'est installé, les désinstaller si
besoin est
- installer les services à fournir, les configurer soigneusement
- mettre en place des outils de surveillance (logs, IDS, ...)

Cette liste est loin d'etre exhaustive, se réferer à l'abondante
littérature sur le sujet sur le web... Grosso modo, une fois qu'on en est
la, on peut commencer à penser à l'utilisation d'outils d'audits de
sécurité...

Attention, le rôle d'administrateur système pour un serveur de prod
connecté à Internet ne s'improvise pas, et n'est pas à prendre à la
légère... A titre d'anecdote, un de mes clients a eu cette (mauvaise) idée
il y a deux ans : leur site a été défacé 2x en 6 mois... Après ils ont
décidé de faire appel à un vrai admin ;)

--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/

Avatar
Xavier Roche
Arnaud wrote:
Je suis dans une petite société qui vient d'investir dans un serveur
pour héberger nous-même notre site. Le problème, c'est que personne
n'est vraiment calé en matière de sécurité et on voudrait tout de même
se débrouiller seuls plutôt que de dépenser une fortune pour un audit et
la solution qui irait avec.
Ma question est : comment vérifier depuis l'extérieur que notre serveur
est "bien" protégé ?


Si seul le site est hébergé, vérifier que seul le port 80 est ouvert
derrière le firewall. Après, vérifier que le serveur web est correctement
configuré (exemple: sous Linux, un Apache récent, avec les modules type
php en safe mode, le tout chrooté sur un système dont le / est en read-only)
De même si le port 25 (smtp) est ouvert, vérifier le relaying!
Bref pas besoin d'outils très spécialisés, mais quelques connaissances
sont nécessaires (les outils d'audit ne vous diront pas qu'un de vos
scripts est vulnérable, par exemple)

Si tout ce que je viens de dire est du chinois, passez pas un hébergeur,
ce sera plus sûr (et pas très cher, finalement)

Avatar
Arnaud ARZUFFI
Arnaud wrote:

Bonjour,

Je suis dans une petite société qui vient d'investir dans un serveur
pour héberger nous-même notre site. Le problème, c'est que personne
n'est vraiment calé en matière de sécurité et on voudrait tout de même
se débrouiller seuls plutôt que de dépenser une fortune pour un audit et
la solution qui irait avec.

Ma question est : comment vérifier depuis l'extérieur que notre serveur
est "bien" protégé ?

Je pourrais m'amuser à récupérer quelques outils que les SK utilisent
mais bon... ça risque de faire pas mal de trucs à chercher et au final,
j'aurais vraiment pas testé à fond... donc, on oublie cette solution...
sans compter que je me méfierai de ce genre d'outils car on ne sait
jamais ce que ça peut contenir !!!

J'ai aussi vu que des sites permettaient de tester les ports d'un
ordinateur mais cela me pose deux problèmes :
- est-ce suffisant ? (je pense que non)
- qu'est-ce qui me garantis que les infos collectées pour le test ne
servent pas derrière à trouver des cibles potentielles ? (je sais, c'est
un peu de la parano mais je préfère rester prudent ! si ça avait été
pour ma machine perso, ça ne m'aurait pas dérangé : je teste, je me
déconnecte et je me reconnecte et plus de soucis car mon IP aura (en
principe) changé... Mais là, avec un serveur (en IP fixe donc), j'ai
quelques craintes...)

Merci de vos conseils en tout genre (liens vers des outils, des
articles, des ouvrages... Bref, tout ce qui peut m'aider !)

Arnaud


http://www.nessus.org


--
Arnaud ARZUFFI

Avatar
FrekoDing
Dans la news : 3fb12909$0$13273$,
Arnaud ecrivait (justement !) :

Bonjour,


Bonsoir !

Je suis dans une petite société qui vient d'investir dans un serveur
pour héberger nous-même notre site. Le problème, c'est que personne
n'est vraiment calé en matière de sécurité et on voudrait tout de même
se débrouiller seuls plutôt que de dépenser une fortune pour un audit
et la solution qui irait avec.


risqué comme approche...
pourquoi ne pas donné sa chance a un stagiaire en administration reseau
?! ;o)

Ma question est : comment vérifier depuis l'extérieur que notre
serveur est "bien" protégé ?


aparemment, c'est un serveur web que vous heberger...
donc ecoute du serveur sur port TCP/80.
un coup de nmap sur le serveur (depuis chez vous par exemple) ne devrait
montrer que ce port en ecoute :o)
si il y en a d'autres... faut se poser les bonnes questions : a-t-on
besoin du service en ecoute derriere le port en question ?

Je pourrais m'amuser à récupérer quelques outils que les SK utilisent
mais bon... ça risque de faire pas mal de trucs à chercher et au
final, j'aurais vraiment pas testé à fond... donc, on oublie cette
solution... sans compter que je me méfierai de ce genre d'outils car
on ne sait jamais ce que ça peut contenir !!!


pratiquement tous les outils dont vous avez besoin sont open source
(nmap par exemple !)

J'ai aussi vu que des sites permettaient de tester les ports d'un
ordinateur mais cela me pose deux problèmes :


normal !

- est-ce suffisant ? (je pense que non)


tout est relatif !
pour proteger la machine d'un particulier (j'entends par la, pas de
service en ecoute), ca peut suffir !

- qu'est-ce qui me garantis que les infos collectées pour le test ne
servent pas derrière à trouver des cibles potentielles ? (je sais,
c'est un peu de la parano mais je préfère rester prudent ! si ça
avait été pour ma machine perso, ça ne m'aurait pas dérangé : je
teste, je me déconnecte et je me reconnecte et plus de soucis car mon
IP aura (en principe) changé... Mais là, avec un serveur (en IP fixe
donc), j'ai quelques craintes...)


le mieux est de realiser ce test ce soi meme depuis une autre machine
hors du reseau.

Merci de vos conseils en tout genre (liens vers des outils, des
articles, des ouvrages... Bref, tout ce qui peut m'aider !)


premiere etape : connaitre l'OS sur lequel vous travaillez...
2e etape : apprendre le fonctionnement des reseaux en general puis
approfondir TCP/IP...
ensuite : se faire la main, lire ,lire et encore lire ! ;o)

@+

Avatar
Leo Wauters
On 11 Nov 2003 22:22:48 GMT, Arnaud
wrote:

Bonjour,

Je suis dans une petite société qui vient d'investir dans un serveur
pour héberger nous-même notre site. Le problème, c'est que personne
n'est vraiment calé en matière de sécurité et on voudrait tout de même
se débrouiller seuls plutôt que de dépenser une fortune pour un audit et
la solution qui irait avec.
Mais vous risquez de perdre du temps à vous former, et le temps c'est

de l'argent... il y a des audits qui ne sont pas très couteux.

J'ai aussi vu que des sites permettaient de tester les ports d'un
ordinateur mais cela me pose deux problèmes :
- est-ce suffisant ? (je pense que non)
Non, effectivement, ce n'est pas suffisant, mais ca reste nécessaire.


- qu'est-ce qui me garantis que les infos collectées pour le test ne
servent pas derrière à trouver des cibles potentielles ? (je sais, c'est
un peu de la parano mais je préfère rester prudent ! si ça avait été
pour ma machine perso, ça ne m'aurait pas dérangé : je teste, je me
déconnecte et je me reconnecte et plus de soucis car mon IP aura (en
principe) changé... Mais là, avec un serveur (en IP fixe donc), j'ai
quelques craintes...)
Oula....

Si tu commences à faire de la parano en tant qu'admin d'une machine,
t'es pas sorti d'affaire. Rien que le temps d'écrire ce message, mon
serveur web s'est fait scanner 1 fois, et a subi 1 attaque pour
serveur IIS non patché. Hier, j'ai eu 17 tentatives d'intrusion,
toutes infructueuses. C'est comme ca tous les jours depuis plus de 6
mois.

La seule "parade" : faire des sauvegardes régulières et mettre à jour
le système et les exécutables régulièrement. On pourra aussi se placer
derrière un firewall niveau 7, c'est toujours un plus.

Le coup des IP fixes, c'est un peu "bidon". Il y a autant de chances
que tu te fasses renifler dans le cas d'une IP fixe que pour une IP
dynamique. Je pense pas que la problématique de sécurité soit là.

Merci de vos conseils en tout genre (liens vers des outils, des
articles, des ouvrages... Bref, tout ce qui peut m'aider !)
Ca dépend en partie de ton serveur. Sous quel OS il tourne ?

Sinon, pour des conseils "généralistes" tu peux consulter les premiers
numéros de MISC (http://www.ed-diamond.com/).

Bon courage ;)

Léo.

Avatar
thegibs
Bonjour,

Arnaud wrote:
[...]
Ma question est : comment vérifier depuis l'extérieur que notre serveur
est "bien" protégé ?
[...]


Par tes propres moyens ?
- si oui, Nessus et un PC à la maison permettent déjà d'obtenir des
résultats intéressants, en tout cas en situation réelle (à supposer
que tu aies toutes les autorisations ou ordres de mission *écrits* de
ton entreprise pour effectuer cette analyse...)
- si non, des fournisseurs de services existent, sur la base d'audits
réguliers. Ils sont nombreux, je peux te fournir une liste en privé si
tu le souhaites (je suis client, pas fournisseur :-). Celà va de
moyennement cher (quelques kE/an) à plutôt cher (quelques x*10kE/an),
celà dépend, selon les offres, du nombre d'IP, de licences à acheter,
de forfaits annuels, etc.

NB: un scan ponctuel, suivi d'actions de corrections, n'aura amha une
efficacité que... ponctuelle. En effet, tu peux avoir un serveur
sécurisé à un instant donné, mais seuls des audits réguliers
permettent d'assurer la pérennité de ton niveau de sécurité.

J'ai aussi vu que des sites permettaient de tester les ports d'un
ordinateur mais cela me pose deux problèmes :
- est-ce suffisant ? (je pense que non)
[...]


Les ports, c'est un bon début (faute de mieux), à supposer que le
scanner ne fasse pas uniquement un TCP ping. Celà permet au moins de
mesurer la surface d'exposition, donc de dégrossir le travail. Après
reste à définir ce que l'on peut faire avec les services offerts, et
quels services sont inutiles.

- qu'est-ce qui me garantis que les infos collectées pour le test ne
servent pas derrière à trouver des cibles potentielles ? (je sais, c'est
[...]

Rien :-/

A+
--
TheGibs.

Avatar
swollen
Xavier Roche wrote:

Si seul le site est hébergé, vérifier que seul le port 80 est ouvert
derrière le firewall. Après, vérifier que le serveur web est correctement
configuré (exemple: sous Linux, un Apache récent, avec les modules type
php en safe mode, le tout chrooté sur un système dont le / est en
read-only)


Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www,
y'a t'il des risques hors /www ?

Avatar
Xavier Roche
swollen wrote:
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www,
y'a t'il des risques hors /www ?


Il peut toujours écrire sur /tmp
(grand classique: injection de code dans /tmp executable, avec lancement
d'un demon (trojan) - ou d'un inetd avec fichier de config dans /tmp, ce
qui bypasse alors les protections en execution de /tmp)

Donc vérifier que les modules n'ont pas de droits étendus (comme pour la
configuration par défaut de php), comme écriture dans /tmp, execution de
code (exec() /system()/popen()) etc.

Et bien vérifier ses scripts.

1 2 3