Je suis dans une petite société qui vient d'investir dans un serveur
pour héberger nous-même notre site. Le problème, c'est que personne
n'est vraiment calé en matière de sécurité et on voudrait tout de même
se débrouiller seuls plutôt que de dépenser une fortune pour un audit et
la solution qui irait avec.
Ma question est : comment vérifier depuis l'extérieur que notre serveur
est "bien" protégé ?
Je pourrais m'amuser à récupérer quelques outils que les SK utilisent
mais bon... ça risque de faire pas mal de trucs à chercher et au final,
j'aurais vraiment pas testé à fond... donc, on oublie cette solution...
sans compter que je me méfierai de ce genre d'outils car on ne sait
jamais ce que ça peut contenir !!!
J'ai aussi vu que des sites permettaient de tester les ports d'un
ordinateur mais cela me pose deux problèmes :
- est-ce suffisant ? (je pense que non)
- qu'est-ce qui me garantis que les infos collectées pour le test ne
servent pas derrière à trouver des cibles potentielles ? (je sais, c'est
un peu de la parano mais je préfère rester prudent ! si ça avait été
pour ma machine perso, ça ne m'aurait pas dérangé : je teste, je me
déconnecte et je me reconnecte et plus de soucis car mon IP aura (en
principe) changé... Mais là, avec un serveur (en IP fixe donc), j'ai
quelques craintes...)
Merci de vos conseils en tout genre (liens vers des outils, des
articles, des ouvrages... Bref, tout ce qui peut m'aider !)
Donc si on conserve le contexte du fil, la réponse de Xavier est parfaitement valide.
Le posteur initial annonce qu'il n'a aucune compétence et qu'il veut mettre un serveur sur le net, donc en reprenant vos évaluations, vous arriverez au résultat décrit par Xavier.
Tel que Xavier a formulé son post, le posteur initial aurait tout aussi
bien pu dire qu'il etait une pointure en matière de sécurité, que ca n'aurait rien changé. Peut être que j'interprete mal...
Maintenant il est toujours possible de sécuriser un système et le fait que cela soit le métier d'une personne ne fait pas forcément de cette personne quelqu'un de compétent.
J'ai vu chez un de mes clients un FW1 sur base NT qui générait lui même du traffic netbios sur son interface reliée au routeur externe et encore plus amusant, qui répondait aux requêtes venant de l'extérieur et cette machine avait été installée par un professionnel de la profession.
Bien sur, tu as tout a fait raison. Mais je ne suis qu'un jeune
technicien dont la motivation première est l'interet de son travail, aussi lorsque je parle de métier, je parle de ce que je sais faire, me mes compétences, et non pas de la façon dont mon débile de commercial va bien pouvoir me vendre... Je n'ai pas les compétences des cadors de ce forums (dont tu fais partie) mais j'en sais assez pour etre capable d'affirmer que réduire la sécurité d'un OS sur le seul postulat de son éditeur est une preuve d'incompétence notoire.
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Eric Masson <emss@free.fr> wrote in
news:86vfphmwgt.fsf@t39bsdems.interne.kisoft-services.com:
Donc si on conserve le contexte du fil, la réponse de Xavier est
parfaitement valide.
Le posteur initial annonce qu'il n'a aucune compétence et qu'il veut
mettre un serveur sur le net, donc en reprenant vos évaluations, vous
arriverez au résultat décrit par Xavier.
Tel que Xavier a formulé son post, le posteur initial aurait tout aussi
bien pu dire qu'il etait une pointure en matière de sécurité, que ca
n'aurait rien changé. Peut être que j'interprete mal...
Maintenant il est toujours possible de sécuriser un système et le fait
que cela soit le métier d'une personne ne fait pas forcément de cette
personne quelqu'un de compétent.
J'ai vu chez un de mes clients un FW1 sur base NT qui générait lui
même du traffic netbios sur son interface reliée au routeur externe et
encore plus amusant, qui répondait aux requêtes venant de l'extérieur
et cette machine avait été installée par un professionnel de la
profession.
Bien sur, tu as tout a fait raison. Mais je ne suis qu'un jeune
technicien dont la motivation première est l'interet de son travail,
aussi lorsque je parle de métier, je parle de ce que je sais faire, me
mes compétences, et non pas de la façon dont mon débile de commercial va
bien pouvoir me vendre...
Je n'ai pas les compétences des cadors de ce forums (dont tu fais partie)
mais j'en sais assez pour etre capable d'affirmer que réduire la sécurité
d'un OS sur le seul postulat de son éditeur est une preuve d'incompétence
notoire.
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
Donc si on conserve le contexte du fil, la réponse de Xavier est parfaitement valide.
Le posteur initial annonce qu'il n'a aucune compétence et qu'il veut mettre un serveur sur le net, donc en reprenant vos évaluations, vous arriverez au résultat décrit par Xavier.
Tel que Xavier a formulé son post, le posteur initial aurait tout aussi
bien pu dire qu'il etait une pointure en matière de sécurité, que ca n'aurait rien changé. Peut être que j'interprete mal...
Maintenant il est toujours possible de sécuriser un système et le fait que cela soit le métier d'une personne ne fait pas forcément de cette personne quelqu'un de compétent.
J'ai vu chez un de mes clients un FW1 sur base NT qui générait lui même du traffic netbios sur son interface reliée au routeur externe et encore plus amusant, qui répondait aux requêtes venant de l'extérieur et cette machine avait été installée par un professionnel de la profession.
Bien sur, tu as tout a fait raison. Mais je ne suis qu'un jeune
technicien dont la motivation première est l'interet de son travail, aussi lorsque je parle de métier, je parle de ce que je sais faire, me mes compétences, et non pas de la façon dont mon débile de commercial va bien pouvoir me vendre... Je n'ai pas les compétences des cadors de ce forums (dont tu fais partie) mais j'en sais assez pour etre capable d'affirmer que réduire la sécurité d'un OS sur le seul postulat de son éditeur est une preuve d'incompétence notoire.
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Eric Masson
"Eric" == Eric Belhomme writes:
Eric> Peut être que j'interprete mal...
Amha, il y a probablement un problème d'interprétation.
J'ai lu le post de Xav sous la forme suivante, tu connectes au Net un serveur que tu viens d'installer en installation par défaut : - un 2k se fera rétamer en un rien de temps (je ne te ferais pas l'affront de te rappeler l'historique des failles rpc de ces derniers mois) - une redhat qui installe tout un tas de saletés par défaut pourra aussi se faire trouer si un service sur lequel traine un exploit quelconque est actif - un bsd n'installant quasiment rien par défaut, il sera plus difficile à trouer, c'est tout.
Eric> et non pas de la façon dont mon débile de commercial va bien Eric> pouvoir me vendre...
Un bon commercial est un commercial mort (c) jsaipuki
Eric> Je n'ai pas les compétences des cadors de ce forums (dont tu fais Eric> partie)
Là, tu te fous de moi, Cédric, Nicob ou encore Christophe sont de vrais bons experts sécurité, je suis très loin de leur atteindre la cheville.
Eric> mais j'en sais assez pour etre capable d'affirmer que réduire la Eric> sécurité d'un OS sur le seul postulat de son éditeur est une Eric> preuve d'incompétence notoire.
Je ne pense pas que ce soit ce qu'ai fait Xavier, d'ailleurs, je le lis depuis suffisamment longtemps pour savoir qu'il évite de raconter des conneries.
Eric Masson
-- bof> "mot de passe invalide" ca veut dire quoi? Que tu peux s'assoir dans les places réservées des autobus. -+- LW in GNU : Pour l'invalide, c'est l'opéra ou la concorde. -+-
"Eric" == Eric Belhomme <eric.belhomme_NOSPAM@free.fr.invalid> writes:
Eric> Peut être que j'interprete mal...
Amha, il y a probablement un problème d'interprétation.
J'ai lu le post de Xav sous la forme suivante, tu connectes au Net un
serveur que tu viens d'installer en installation par défaut :
- un 2k se fera rétamer en un rien de temps (je ne te ferais pas
l'affront de te rappeler l'historique des failles rpc de ces derniers
mois)
- une redhat qui installe tout un tas de saletés par défaut pourra aussi
se faire trouer si un service sur lequel traine un exploit quelconque
est actif
- un bsd n'installant quasiment rien par défaut, il sera plus difficile
à trouer, c'est tout.
Eric> et non pas de la façon dont mon débile de commercial va bien
Eric> pouvoir me vendre...
Un bon commercial est un commercial mort (c) jsaipuki
Eric> Je n'ai pas les compétences des cadors de ce forums (dont tu fais
Eric> partie)
Là, tu te fous de moi, Cédric, Nicob ou encore Christophe sont de vrais
bons experts sécurité, je suis très loin de leur atteindre la cheville.
Eric> mais j'en sais assez pour etre capable d'affirmer que réduire la
Eric> sécurité d'un OS sur le seul postulat de son éditeur est une
Eric> preuve d'incompétence notoire.
Je ne pense pas que ce soit ce qu'ai fait Xavier, d'ailleurs, je le lis
depuis suffisamment longtemps pour savoir qu'il évite de raconter des
conneries.
Eric Masson
--
bof> "mot de passe invalide" ca veut dire quoi?
Que tu peux s'assoir dans les places réservées des autobus.
-+- LW in GNU : Pour l'invalide, c'est l'opéra ou la concorde. -+-
Amha, il y a probablement un problème d'interprétation.
J'ai lu le post de Xav sous la forme suivante, tu connectes au Net un serveur que tu viens d'installer en installation par défaut : - un 2k se fera rétamer en un rien de temps (je ne te ferais pas l'affront de te rappeler l'historique des failles rpc de ces derniers mois) - une redhat qui installe tout un tas de saletés par défaut pourra aussi se faire trouer si un service sur lequel traine un exploit quelconque est actif - un bsd n'installant quasiment rien par défaut, il sera plus difficile à trouer, c'est tout.
Eric> et non pas de la façon dont mon débile de commercial va bien Eric> pouvoir me vendre...
Un bon commercial est un commercial mort (c) jsaipuki
Eric> Je n'ai pas les compétences des cadors de ce forums (dont tu fais Eric> partie)
Là, tu te fous de moi, Cédric, Nicob ou encore Christophe sont de vrais bons experts sécurité, je suis très loin de leur atteindre la cheville.
Eric> mais j'en sais assez pour etre capable d'affirmer que réduire la Eric> sécurité d'un OS sur le seul postulat de son éditeur est une Eric> preuve d'incompétence notoire.
Je ne pense pas que ce soit ce qu'ai fait Xavier, d'ailleurs, je le lis depuis suffisamment longtemps pour savoir qu'il évite de raconter des conneries.
Eric Masson
-- bof> "mot de passe invalide" ca veut dire quoi? Que tu peux s'assoir dans les places réservées des autobus. -+- LW in GNU : Pour l'invalide, c'est l'opéra ou la concorde. -+-
hrk
Si c'est un Windows, il est d'ores et déja troué jusqu'à l'os. Si c'est un Linux Redhat ou Mandrake, c'est très probable. Si c'est un BSD, ça se peut aussi, mais moins probable.
A ce propos J'ai une petite question..... n'etant pas moi meme expert en securité (ni meme en unices).... juste amateur ... J'ai installé qques machines sous debian... Install de base ... ni dselect et encore moins tasksel. Puis, un part un, les services dont j'ai besoin ... postfix, bind9, courier. Un squid qui ecoute le LAN, un sshd ... sourceslist avec security.debian. iptables en drop par defaut ... etc ... (ipmasq)
Puis-je considerer que cette machine est suffisament securisée ?
Si c'est un Windows, il est d'ores et déja troué jusqu'à l'os.
Si c'est un Linux Redhat ou Mandrake, c'est très probable.
Si c'est un BSD, ça se peut aussi, mais moins probable.
A ce propos
J'ai une petite question..... n'etant pas moi meme expert en securité
(ni meme en unices).... juste amateur ...
J'ai installé qques machines sous debian...
Install de base ... ni dselect et encore moins tasksel.
Puis, un part un, les services dont j'ai besoin ...
postfix, bind9, courier.
Un squid qui ecoute le LAN, un sshd ...
sourceslist avec security.debian.
iptables en drop par defaut ... etc ... (ipmasq)
Puis-je considerer que cette machine est suffisament securisée ?
Si c'est un Windows, il est d'ores et déja troué jusqu'à l'os. Si c'est un Linux Redhat ou Mandrake, c'est très probable. Si c'est un BSD, ça se peut aussi, mais moins probable.
A ce propos J'ai une petite question..... n'etant pas moi meme expert en securité (ni meme en unices).... juste amateur ... J'ai installé qques machines sous debian... Install de base ... ni dselect et encore moins tasksel. Puis, un part un, les services dont j'ai besoin ... postfix, bind9, courier. Un squid qui ecoute le LAN, un sshd ... sourceslist avec security.debian. iptables en drop par defaut ... etc ... (ipmasq)
Puis-je considerer que cette machine est suffisament securisée ?
Eric Belhomme
Eric Masson wrote in news::
Amha, il y a probablement un problème d'interprétation.
J'ai lu le post de Xav sous la forme suivante, tu connectes au Net un serveur que tu viens d'installer en installation par défaut : - un 2k se fera rétamer en un rien de temps (je ne te ferais pas l'affront de te rappeler l'historique des failles rpc de ces derniers mois) - une redhat qui installe tout un tas de saletés par défaut pourra aussi se faire trouer si un service sur lequel traine un exploit quelconque est actif - un bsd n'installant quasiment rien par défaut, il sera plus difficile à trouer, c'est tout.
pris dans ce sens, effectivement tout s'explique... encore que la
dernière fois que j'ai installé une red hat (une 7.3 en mode expert) j'avais la possibilité de sélectionner paquet par paquet ce qu'il fallait installer, je sais pas pour les versions plus récentes...
Là, tu te fous de moi, Cédric, Nicob ou encore Christophe sont de vrais bons experts sécurité, je suis très loin de leur atteindre la cheville.
Les personnes sus-citées sont effectivement de "vrais" experts en sécu,
mais j'ai le souvenir de certains posts de Mr Masson de bien haute volée, et pas seulement sur fcs, mais aussi sur fcre ou fcri. Par ailleurs, saches que je lis toujours avec beaucoup d'interet tes (rares) posts ici et ailleurs ;)
Je ne pense pas que ce soit ce qu'ai fait Xavier, d'ailleurs, je le lis depuis suffisamment longtemps pour savoir qu'il évite de raconter des conneries.
Eclairé par ton interprétation de ce thread, et apres relecture, je me
range de ton coté. J'en profite donc pour présenter platement mes plus humbles excuses à Xavier pour l'avoir jugé et condamné un peu rapidement. mea culpa, la prochaine fois que je veux flamer quelqu'un, je retournerai 7x mon clavier, et surtout je relirai l'intégralité du post avant tout...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Eric Masson <emss@free.fr> wrote in
news:86wu9tomal.fsf@t39bsdems.interne.kisoft-services.com:
Amha, il y a probablement un problème d'interprétation.
J'ai lu le post de Xav sous la forme suivante, tu connectes au Net un
serveur que tu viens d'installer en installation par défaut :
- un 2k se fera rétamer en un rien de temps (je ne te ferais pas
l'affront de te rappeler l'historique des failles rpc de ces
derniers mois)
- une redhat qui installe tout un tas de saletés par défaut pourra
aussi
se faire trouer si un service sur lequel traine un exploit
quelconque est actif
- un bsd n'installant quasiment rien par défaut, il sera plus
difficile
à trouer, c'est tout.
pris dans ce sens, effectivement tout s'explique... encore que la
dernière fois que j'ai installé une red hat (une 7.3 en mode expert)
j'avais la possibilité de sélectionner paquet par paquet ce qu'il fallait
installer, je sais pas pour les versions plus récentes...
Là, tu te fous de moi, Cédric, Nicob ou encore Christophe sont de
vrais bons experts sécurité, je suis très loin de leur atteindre la
cheville.
Les personnes sus-citées sont effectivement de "vrais" experts en sécu,
mais j'ai le souvenir de certains posts de Mr Masson de bien haute volée,
et pas seulement sur fcs, mais aussi sur fcre ou fcri. Par ailleurs,
saches que je lis toujours avec beaucoup d'interet tes (rares) posts ici
et ailleurs ;)
Je ne pense pas que ce soit ce qu'ai fait Xavier, d'ailleurs, je le
lis depuis suffisamment longtemps pour savoir qu'il évite de raconter
des conneries.
Eclairé par ton interprétation de ce thread, et apres relecture, je me
range de ton coté. J'en profite donc pour présenter platement mes plus
humbles excuses à Xavier pour l'avoir jugé et condamné un peu rapidement.
mea culpa, la prochaine fois que je veux flamer quelqu'un, je retournerai
7x mon clavier, et surtout je relirai l'intégralité du post avant tout...
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
Amha, il y a probablement un problème d'interprétation.
J'ai lu le post de Xav sous la forme suivante, tu connectes au Net un serveur que tu viens d'installer en installation par défaut : - un 2k se fera rétamer en un rien de temps (je ne te ferais pas l'affront de te rappeler l'historique des failles rpc de ces derniers mois) - une redhat qui installe tout un tas de saletés par défaut pourra aussi se faire trouer si un service sur lequel traine un exploit quelconque est actif - un bsd n'installant quasiment rien par défaut, il sera plus difficile à trouer, c'est tout.
pris dans ce sens, effectivement tout s'explique... encore que la
dernière fois que j'ai installé une red hat (une 7.3 en mode expert) j'avais la possibilité de sélectionner paquet par paquet ce qu'il fallait installer, je sais pas pour les versions plus récentes...
Là, tu te fous de moi, Cédric, Nicob ou encore Christophe sont de vrais bons experts sécurité, je suis très loin de leur atteindre la cheville.
Les personnes sus-citées sont effectivement de "vrais" experts en sécu,
mais j'ai le souvenir de certains posts de Mr Masson de bien haute volée, et pas seulement sur fcs, mais aussi sur fcre ou fcri. Par ailleurs, saches que je lis toujours avec beaucoup d'interet tes (rares) posts ici et ailleurs ;)
Je ne pense pas que ce soit ce qu'ai fait Xavier, d'ailleurs, je le lis depuis suffisamment longtemps pour savoir qu'il évite de raconter des conneries.
Eclairé par ton interprétation de ce thread, et apres relecture, je me
range de ton coté. J'en profite donc pour présenter platement mes plus humbles excuses à Xavier pour l'avoir jugé et condamné un peu rapidement. mea culpa, la prochaine fois que je veux flamer quelqu'un, je retournerai 7x mon clavier, et surtout je relirai l'intégralité du post avant tout...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
