| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| issue81:securite [2014/05/17 10:51] – gsxfred | issue81:securite [2014/05/18 15:41] (Version actuelle) – auntiee |
|---|
| Ne paniquez pas du noyau ! Gord va revenir très bientôt pour répondre à vos questions. | Ne paniquez pas du noyau ! Gord va revenir très bientôt pour répondre à vos questions. |
| |
| Dans cette nouvelle section Michael Boelen (créateur de Lynis) va répondre à vos questions de sécurité sur Linux. Si vous avez une question à poser à Michael sur la sécurité Linux ou Ubuntu, merci de l'envoyer par e-mail à: misc@fullcirclemagazine.org. | Dans cette nouvelle section Michael Boelen (créateur de Lynis) va répondre à vos questions de sécurité sous Linux. Si vous avez une question à poser à Michael sur la sécurité Linux ou Ubuntu, merci de l'envoyer par e-mail à: misc@fullcirclemagazine.org. |
| |
| ** | ** |
| ** | ** |
| |
| De Ben McTee: J'utilise actuellement Xubuntu 13.04 en tant que serveur de musique, de vidéo, et de fichiers pour chez moi et en dehors. J'ai un serveur SSH paramétré avec une authentification par clé (celle par mot de passe est désactivée). Afin d'accéder à mon serveur à distance, la redirection de port est activée sur mon routeur Airport Extreme, redirigeant tout le trafic du port 80 vers mon serveur. J'ai installé Plex Server et l'ai configuré pour permettre le streaming de vidéos sur mes appareils pendant que je suis loin de la maison. De plus, j'utilise Webmin pour gérer des services, des serveurs, SAMBA, et d'autres tâches sur la machine Xubuntu. Y a-t-il des contrôles que je puisse effectuer, localement ou à distance, afin de m'assurer qu'un attaquant n'est pas capable d'accéder à mon système depuis l'extérieur du réseau? J'ai lu qu'il y avait des failles de sécurité dans Webmin, mais en même temps je l'adore pour son confort. | De Ben McTee: J'utilise actuellement Xubuntu 13.04 en tant que serveur de musique, de vidéo, et de fichiers à la maison et à l'extérieur. J'ai un serveur SSH paramétré avec une authentification par clé (celle par mot de passe est désactivée). Afin d'accéder à mon serveur à distance, la redirection de port est activée sur mon routeur Airport Extreme, redirigeant tout le trafic du port 80 vers mon serveur. J'ai installé Plex Server et l'ai configuré pour permettre le streaming de vidéos sur mes appareils pendant que je suis loin de la maison. De plus, j'utilise Webmin pour gérer des services, des serveurs, SAMBA, et d'autres tâches sur la machine Xubuntu. Y a-t-il des vérifications que je puisse effectuer, localement ou à distance, afin de m'assurer qu'un attaquant n'est pas capable d'accéder à mon système depuis l'extérieur du réseau ? J'ai lu qu'il y avait des failles de sécurité dans Webmin, mais en même temps je l'adore pour son confort. |
| |
| MB: Lorsqu'une personne malveillante (ou un script) souhaite entrer dans votre réseau, elle cherche le maillon le plus faible. Une façon de le trouver est d'utiliser un port réseau bien connu (comme le port 80) combiné à un logiciel facilement identifiable (par exemple, Webmin). Il y a certaines choses qui peuvent être faites pour renforcer les maillons les plus faibles: utiliser un port non standard pour contrecarrer la plupart des scripts malveillants, chiffrer les données si possible, limiter l'accès à l'aide d'un filtre IP ou une couche supplémentaire d'authentification. Dans votre cas, vous avez déjà appliqué plusieurs de ces méthodes. Une façon de les tester est de vérifier quels ports sont ouverts à partir de « l'extérieur », et de vérifier si d'autres peuvent déterminer ce que vous utilisez. Comme toujours, appliquer des correctifs de sécurité pour les paquets dont les vulnérabilités sont connues, surtout s'ils écoutent sur le réseau. | MB: Lorsqu'une personne malveillante (ou un script) souhaite entrer dans votre réseau, elle cherche le maillon faible. Une façon de le trouver est d'utiliser un port réseau bien connu (comme le port 80) combiné à un logiciel facilement identifiable (par exemple, Webmin). Il n'y que très peu de choses qui peuvent être faites pour renforcer les maillons les plus faibles : utiliser un port non standard pour contrecarrer la plupart des scripts malveillants, chiffrer les données si possible, limiter l'accès à l'aide d'un filtre IP ou une couche supplémentaire d'authentification. Dans votre cas, vous avez déjà appliqué plusieurs de ces méthodes. Une façon de les tester est de vérifier quels ports sont ouverts à partir de « l'extérieur », et de vérifier si d'autres peuvent déceler ce que vous exécutez. Comme toujours, appliquer des correctifs de sécurité pour les paquets dont les vulnérabilités sont connues, surtout s'ils écoutent sur le réseau. |
| |
| ** | ** |
| ** | ** |
| |
| De Ben McTee: Quelle est la meilleure méthode de m'aviser automatiquement si une attaque est tentée sur mon réseau (scan de port, par exemple). | De Ben McTee: Quelle est la meilleure méthode de recevoir des notifications automatiquement si une attaque est tentée sur mon réseau (scan de port, par exemple). |
| |
| MB: Il faut d'abord connaitre la définition d'une attaque. Malheureusement cela diffère pour chaque personne ou entreprise. Dans le domaine de la réponse aux incidents de sécurité, nous prenons en compte principalement tous les événements qui n'ont pas un comportement normal, et ayant une intention clairement malveillante. Un balayage de port n'est donc pas une attaque ni un déclencheur pour la réponse aux incidents de sécurité. C'est tout simplement une chose commune sur internet, similaire à une attaque brute des comptes via SSH. Mais réaliser un déni de service distribué sur votre système est considéré comme malveillant et non pas un événement quotidien. Donc, mon conseil est d'abord de décider ce que vous voulez protéger et ce que vous feriez avec les événements survenus. Voulez-vous enquêter sur chaque tentative de balayage de port et cela vaudrait-il le temps passer à le faire ? | MB: Il faut d'abord connaitre la définition d'une attaque. Malheureusement, cela diffère pour chaque personne ou entreprise. Dans le domaine de la réponse aux incidents de sécurité, nous prenons en compte principalement tous les événements qui n'ont pas un comportement normal, mais une intention clairement malveillante. Un balayage de port n'est donc pas une attaque ni un déclencheur de réponse aux incidents de sécurité. C'est tout simplement une chose ordinaire sur Internet, similaire à une attaque brute des comptes via SSH. Mais réaliser un déni de service distribué sur votre système est considéré comme malveillant et un événement qui sort complètement de l'ordinaire. Donc, mon conseil est d'abord de décider ce que vous voulez protéger et ce que vous feriez si des événements survenaient. Voulez-vous enquêter sur chaque tentative de balayage de port et cela vaudrait-il la peine d'y passer beaucoup de temps ? |
| |
| Pour tester la sécurité de votre PC, voir l'article de manuel de Michael plus haut dans ce numéro sur Lynis. | Pour tester la sécurité de votre PC, voir le tutoriel de Michael plus haut dans ce numéro sur Lynis. |
| |
| |
