Différences

Ci-dessous, les différences entre deux révisions de la page.

--- issue82:securite [2014/05/03 18:11] – créée andre_domenech
+++ issue82:securite [2014/06/27 10:33] (Version actuelle) – auntiee
@@ Ligne 1: / Ligne 1: @@
+**
+From Michael Lewis: What issues do we have when finding open WIFI in our neighborhoods and in using them?  Using a directional antenna the connections are good, fast and usually reliable, but the sources are unknown. What protection would be recommended for everyday use of WIFI , especially for those of us who may pay a bill or order from Ebay using these free sources?
+MB: The main risk with WiFi is transmitting data through the air and then putting it onto someone else’s network. These areas – which you can’t control yourself – have a higher risk of interception by others. To some extent you can minimize the risks by using HTTPS; it’s supported by most sites where sensitive data is transmitted. If you use free sources, be aware of possible snooping by others, and encrypt as much as possible (web browsing, e-mail, IM).
-Don't kernel panic! Gord will be back shortly for more of your questions.
+From John Daniels: How would I go about sending the logs from all workstations and servers to a GNU/Linux box for analysis? What is the best tool to collate the logs from various OSes and formats?
+MB: To correlate and analyze log files, it is preferred to have them stored in a similar way. GNU/Linux systems use syslog for that. While, normally, data is stored only locally in /var/log, most syslog daemons can be adjusted to send their data to a (central) remote syslog host. For Windows based systems, there are other solutions; there are also tools which support syslog and send the data in the same way as GNU/Linux machines. After collecting, there are different tools available to work with the data, from log parsing to more advanced event correlation.
+**
-In this new section Michael Boelen (creator of Lynis) will answer your Linux security questions. Do you have a question on Linux/Ubuntu security for Michael? Please email it to: misc@fullcirclemagazine.org.
+Michael Lewis : Quels problèmes a-t-on lorsqu'on trouve un WIFI non sécurisé dans le quartier et que l'on utilise ? Avec une antenne directionnelle les connexions sont bonnes, rapides et généralement fiables, mais les points d'accès sont inconnus. Quelle protection serait recommandée pour une utilisation quotidienne du WIFI, surtout pour ceux d'entre nous qui veulent payer une facture ou passer une commande sur Ebay en utilisant ces points d'accès libres ?
+MB : Le risque principal avec le WiFi est de transmettre des données dans l'air, puis de les mettre sur le réseau de quelqu'un d'autre. Ces zones, que vous ne pouvez pas contrôler vous-même, ont un risque plus élevé d'interception par des tiers. Dans une certaine mesure, vous pouvez réduire les risques en utilisant le protocole HTTPS ; il est supporté par la plupart des sites où des données sensibles sont transmises. Si vous utilisez des points d'accès libres, soyez conscient de la possibilité d'espionnage par d'autres et chiffrez autant que possible (navigation web, e-mail, messagerie instantanée).
+John Daniels : Comment pourrais-je faire pour envoyer des fichiers journaux de tous les postes de travail et serveurs vers une machine GNU/Linux pour analyse ? Quel est le meilleur outil pour rassembler les journaux de différents systèmes d'exploitation et différents formats ?
-From Ben McTee: I’m currently running Xubuntu 13.04 as a music, video, and file server for my home and abroad. I have an SSH server set up with key authentication only (password is disabled). In order to access my server remotely, port forwarding is enabled on my Airport Extreme router, forwarding all port 80 traffic to my server. I have Plex Server installed and set up to allow streaming of videos to my devices while I am away from home. Additionally, I use Webmin to manage services, servers, SAMBA, and other tasks on the Xubuntu machine. Are there checks I can perform, either locally or remotely, to ensure an attacker is not able to gain access to my system from outside the network? I have read of security flaws in Webmin, but at the same time love it for its convenience.
+MB : Pour corréler et analyser les fichiers journaux, il est préférable de les avoir stockés d'une manière similaire. Les systèmes GNU/Linux utilisent syslog pour cela. Alors que, normalement, les données ne sont stockées que localement dans /var/log, la plupart des démons syslog peuvent être configurés pour envoyer leurs données à un hôte syslog distant (central). Pour les systèmes Windows, il existe d'autres solutions ; il y a aussi des outils qui sont compatibles avec syslog et envoient les données de la même manière que les machines GNU/Linux. Après la collecte, différents outils sont disponibles pour travailler avec les données, allant de l'analyse syntaxique des journaux à une corrélation plus avancée des événements.
-MB: If a malicious person (or script) would like to enter your network, it’s a matter of finding the weakest link. One way to find this is using a well-known network port (like port 80) combined with a piece of easy identifiable software (e.g. Webmin). There are few things which can be done to strengthen the weakest links: use a non-standard port to thwart most malicious scripts, encrypt data if possible, limit access by using an IP filter or an additional layer of authentication. In your case, you already applied several of these methods. One way to test them is to check what ports are open from “outside”, and check if others can determine what you are running. As always, apply security patches to those packages with known vulnerabilities, especially if they listen on the network.
+**
+From SkyAisling: What are your thoughts on UEFI?
-From Ben McTee: What is the best method of automatically notifying me if an attack is being attempted on my network (port scanning, for example).
+MB: As with all standards, they usually take some time to be properly implemented. At this moment, I see many people with a lot of boot issues when setting up dual boot (with GNU/Linux). The idea behind UEFI however is great. If you want to protect a system, all layers have to be protected. UEFI tries to be the glue to avoid malicious code sneaking into the boot process. It’s also this area which is the most important one to watch, because once malware is in, it can start spreading (into memory, OS, etc).
-MB: One should first know the definition of an attack. Unfortunately this differs for every individual or company. In the field of security incident response, we consider mainly any events which are outside normal behavior, and with a clear malicious intent. Port scanning would therefore not be an attack or a trigger for security incident response. It’s simply a common thing on the internet, similar to brute forcing accounts via SSH. But performing a distributed denial of service on your system is considered malicious and not a daily event. So my advice is to decide first what you want to protect and what you would do with events occurring. Would you investigate each port scan attempt and would it be worth the time?
+From PieterCloete: How safe are my Ubuntu systems from virus attacks, and what is the best software to stop them – if needed.
+MB: Normal viruses – like we have seen in the period of MS-DOS – are nowadays not much of a risk. Worms, trojan horses and malicious scripts are still a serious threat to every operating system. Gladly, there aren’t many worms which attack Linux systems. Diversity of Linux systems might be one reason why malicious code might work on Red Hat, but not on Ubuntu, for example. My advice for making sure a system stays secure is to stay up-to-date with software patches. Perform testing of unknown scripts or new software in a dedicated virtual machine, and audit your system. In all cases, your system is as secure as the weakest link. My tool, Lynis, might help to uncover these areas and provide tips for additional software to keep systems secure. For malware, in particular, you could use tools like ClamAV, Rootkit Hunter, Chkrootkit, OSSEC and LMD.
+Michael Boelen is the author and project lead of Lynis. His company CISOfy provides security guidance to individuals and companies by sharing open source software, support and knowledge. He loves sport, reading, and enjoying life with friends.
+**
+SkyAisling : Que pensez-vous de l'UEFI?
+MB : Comme avec toutes les normes, ça prend généralement un certain temps pour être correctement mis en œuvre. En ce moment, je vois beaucoup de gens avec beaucoup de problèmes de démarrage lors de l'installation en double amorçage (avec GNU/Linux). Cela étant dit, l'idée derrière l'UEFI est bonne. Si vous souhaitez protéger un système, toutes les couches doivent être protégées. L'UEFI essaie d'être la colle qui éviterait que du code malveillant se faufile dans le processus de démarrage. C'est aussi à ce niveau qu'il est le plus important d'être à l'affut, car une fois qu'un logiciel malveillant s'y est mis, il peut commencer sa diffusion (dans la mémoire, le système d'exploitation, etc.)
+PieterCloete : Quelle est la sécurité de mes systèmes Ubuntu contre les attaques de virus et quel est le meilleur logiciel pour les arrêter, si nécessaire ?
+MB : Les virus ordinaires, comme ceux que nous avons vus dans l'ère de MS-DOS, ne présentent aujourd'hui pas beaucoup de risques. Les vers, chevaux de Troie et les scripts malveillants sont toujours une menace sérieuse pour tout système d'exploitation. Heureusement, il n'y a pas beaucoup de vers qui attaquent les systèmes Linux. La diversité des systèmes Linux peut être une raison pour laquelle un code malveillant pourrait fonctionner sur Red Hat, mais pas sur Ubuntu, par exemple. Mon conseil pour s'assurer qu'un système reste sécurisé est de rester à jour avec des correctifs logiciels, d'effectuer des tests de scripts inconnus ou de nouveaux logiciels sur une machine virtuelle dédiée et de vérifier votre système. Dans tous les cas, votre système est aussi sûr que le maillon le plus faible.  Mon outil, Lynis, pourrait aider à découvrir ces domaines et fournir des conseils concernant des logiciels additionnels pour maintenir les systèmes sécurisés. Pour les logiciels malveillants, en particulier, vous pouvez utiliser des outils comme ClamAV, Rootkit Hunter, Chkrootkit, OSSEC et LMD.
+Michael Boelen est l'auteur et chef du projet Lynis. Son entreprise CISOfy fournit des conseils de sécurité pour les particuliers et les entreprises en partageant les logiciels Open Source, le soutien et ses connaissances. Il aime le sport, la lecture, et profiter de la vie avec des amis.
-To test your PCs security, see Michael's HowTo article earlier in this issue on Lynis.