PDA

Afficher la version complète : [Réglé] Le couteau suisse de la sécurité ?



fe1lho
15/11/2006, 10h00
Bonjour,

Auriez vous des liens sur les solutions à mettre en oeuvre pour avoir un minimum de sécurité :

Firewal, outils de détection d'intrusion, antivirus sur les flux HTTP et Mails, Cryptographie (GPG par exemple), ...

Brefs comment s'assurer d'avoir un minimum de sécurité sur l'ensemble des fonctions d'une entreprise ?

SVP: ne me dites pas de ne pas se connecter directement sur INTERNET, réponse trop facile http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif

Pascal

adminlinux
15/11/2006, 10h21
ne pas se connecter directement sur INTERNET http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif

Je crois ( du moins c'est comme ça que je fais ) des bonnes règles iptables avec comme principe de départ on autorise rien, et puis tu ouvres juste les ports minimum.

tu bloques le ping ( icmp ).

etc...


[édité par yoplait : orthographe]

galagann
15/11/2006, 10h30
Je pense que AppArmor est le programme qui te faut :
Novell AppArmor, solution intégrée dans SUSE Linux Enterprise Server, est un logiciel de sécurisation des applications Linux. AppArmor fournit un contrôle d'accès obligatoire aux programmes et offre une protection contre l'exploitation des points faibles logiciels et des systèmes compromis. AppArmor inclut tous les éléments nécessaires à un contrôle efficace afin de permettre aux programmes (y compris les programmes exécutés sous l'identité racine) de contrecarrer les tentatives d'exploitation indésirable et les attaques dites « Zero day ». AppArmor offre des outils avancés qui automatisent dans une grande mesure la sécurisation des applications programme par programme et éliminent le besoin de recourir à des compétences supplémentaires. Enfin et surtout, AppArmor offre tous ces avantages sans frais supplémentaires de licence logicielle.

Carnaby
15/11/2006, 10h34
Bloquer tout les accès non utilisé c'est un incontournable mais finalement je pense pas que ça soit là que se situe les plus gros dangers.

A mon sens ça serait plutot dans les accès qui seront utilisé que ce situe les points les plus critique avec les failles connues de logiciel non à jour qui sont une voie royale pour les intrusions et évidememnt l'utilisateur qui doit être sensibiliser (voir surveiller par des filtres, des logs, des interdictions... et puis c'est finalement aussi en partie le role de l'antivirus et de l'antispyware de bloquer ce que l'utilisateur a pu introduire).

Pour le blocage du ping j'ai jamais été convaincu que ce soit indispensable, ça va pas rendre indetectable et surtout ça peut parasiter le fonctionnement de certain soft ou procédure de vérification de la connection.

offworld
15/11/2006, 15h40
Déjà une topologie de ton réseau à protéger serait pas mal.

Pour un minimun, s'il n'y a aucun serveur accessible de l'extérieur, bloque tout, la sécurité par l'obscurité est une solution, le site de netfilter te donnera plein d'astuces pour configurer un firewall.

En sortie accepte que ce qui doit l'être, port 80 pour le web, 21 le ftp, etc.
Pour la détection des virus met en place des proxy transparent pour filtrer les flux, clamav s'implante bien avec ces proxy. (squid, p3scan, etc)

Ensuite un ids te sera utile (snort par exemple)

Ensuite des tests d'intégrité régulier. Commence déjà avec tout ça.

Si tu as un/des serveur/s accessible/s de l'extérieur, oublie l'obscurité, rejette les paquets avec un icmp port unreachable, et accepte les pings, de toute façon à peine le pirate aura scanné ta machine que snort aura remonté une alert.

Je te déconseille de bloquer l'ip source du scan, un ip spoofing pourrait te faire bloquer une machine qui elle devrait avoir accès au réseau.


Pour la sécurisation des serveurs, chroot, reverse proxy +sécurisation particulière selon les serveurs.

Voilà pour un début.

ps : évite les solutions toute faites, style apparmor, et n'hésite pas à chercher à te hacker toi même.


[édité par yoplait : orthographe]
[réédité par offworld : non mais http://www.alionet.org/style_emoticons/<#EMO_DIR#>/diablo.gif ]
[édité par yoplait : bah alors, on prend la mouche? http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif]

devloop
15/11/2006, 17h51
dire aux utilisateurs de ne pas cliquer n'importe où à chaque fois qu'on leur promet de voir une paire de fesse http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif

kyp
15/11/2006, 17h57
Il ne faut pas oublier que le pire dangers pour un reseau informatique d'entreprise c'est... l'utilisateur! http://www.alionet.org/style_emoticons/<#EMO_DIR#>/huh.gif

En effet l'une des meilleures methodes pour se proteger et de bien former les utilisateurs à utiliser leurs comptes perso (préalablement créer avec leurs droits d'accès propres evidemment), à ne pas se refiller les mots de passe, à banir les post-it rempli des mdp de tout l'étage...
Evidemment il fautr aussi un bon filtrage de l'internet, avec proxy et pare-feu.

Si la gestion de base est correcte, les options de blindage auront bien moins de travail http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif

offworld
15/11/2006, 18h21
Effectivement, et tester les passes de ses utilisateurs avec des bruteforces, ça se fait aussi.

devloop, ouep, désactiver le javascript avant de cliquer sur un lien, le javascript est la plus grande faiblesse de firefox.

fe1lho
15/11/2006, 18h58
Déjà une topologie de ton réseau à protéger serait pas mal.

Pour un minimun, s'il n'y a aucun serveur accessible de l'extérieur, bloque tout, la sécurité par l'obscurité est une solution, le site de netfilter te donnera plein d'astuces pour configurer un firewall.

En sortie accepte que ce qui doit l'être, port 80 pour le web, 21 le ftp, etc.
Pour la détection des virus met en place des proxy transparent pour filtrer les flux, clamav s'implante bien avec ces proxy. (squid, p3scan, etc)

Ensuite un ids te sera utile (snort par exemple)

Ensuite des tests d'intégrité régulier. Commence déjà avec tout ça.

Si tu as un/des serveur/s accessible/s de l'extérieur, oublie l'obscurité, rejette les paquets avec un icmp port unreachable, et accepte les pings, de toute façon à peine le pirate aura scanné ta machine que snort aura remonté une alert.

Je te déconseille de bloquer l'ip source du scan, un ip spoofing pourrait te faire bloquer une machine qui elle devrait avoir accès au réseau.


Pour la sécurisation des serveurs, chroot, reverse proxy +sécurisation particulière selon les serveurs.

Voilà pour un début.[/b]

Merci de ces informations....
Elles me seront très utiles, reste à prendre mon baton de pélerin et de faire le tour du web pour trouver les solutions proposées ...
Aurais tu des astuces sur l'utilisation de chroot et du reverse proxy pour la sécurisation des serveurs ??

Pascal

predator
15/11/2006, 21h27
Bonsoir à tous.

Je voudrais juste proposer en plus.
-L'utilisation de ipcop pour la protection du réseau à installer sur un pc dedié à l'entrée du réseau.
Il y a aussi smoothwall.
-Dans la mésure du possible et pour une gestion simple et efficace du réseau disposer des machines identiques avec la même configuration. Les parcs étherogènes à configurations multiples et personalisées sont source de problèmes.
-Réduire au strick nécessaire les droits des utilisateurs.
-Pour les serveurs accessibles de l'exterieur créer une zone démilitarisée, séparée du reste des machines (ipcop).
-Les routeurs, professionnels 8 ou 25 tunnels.
-Postes administration réseau et serveurs dans pièce à part fermée avec sérrure de sécuritée. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/laugh.gif
Ne pas dévenir parano avec ses genre des questions et finir par révêr des attaques informatiques qui sont beaucoup moins fréquentes que l'on pourrait le supposer(cela dépend de l'entreprise et de l'interêt que l'on pourraît à avoir de l'attaquer). http://www.alionet.org/style_emoticons/<#EMO_DIR#>/laugh.gif

predator

fe1lho
15/11/2006, 21h54
-L'utilisation de ipcop pour la protection du réseau à installer sur un pc dedié à l'entrée du réseau.
Il y a aussi smoothwall.
-Pour les serveurs accessibles de l'exterieur créer une zone démilitarisée, séparée du reste des machines (ipcop).[/b]

Est-ce que l'on peut dire qu'IpCOP peut rivaliser avec des Pix, par exemple ?

La capacité est identique ? Même facilité pour la création de tunnels VPN ?

Merci de votre aide

predator
15/11/2006, 22h12
<div class='quotetop'>Citation (predator @ 15/11/2006 à 21:27) <{POST_SNAPBACK}> (index.php?act=findpost&pid=111906)

-L'utilisation de ipcop pour la protection du réseau à installer sur un pc dedié à l'entrée du réseau.
Il y a aussi smoothwall.
-Pour les serveurs accessibles de l'exterieur créer une zone démilitarisée, séparée du reste des machines (ipcop).[/b]

Est-ce que l'on peut dire qu'IpCOP peut rivaliser avec des Pix, par exemple ?

La capacité est identique ? Même facilité pour la création de tunnels VPN ?

Merci de votre aide
[/b][/quote]

Je ne connais pas pix mais mon prof des réseaux afirme que ipcop est la meilleure solution "open" actuellement existante.

predator