- DOS = Deny of service
- vol, altération de données
- root à la place de root
- votre machine devient un relais (et vous devenez juridiquement responsable)
- atteinte à votre réputation
- ...
Par hôte : on protège chaque machine
Par réseau : on met un réseau à l'abri derrière un firewall
- un firewall (routeur filtrant) ne protège pas contre les virus
- un anti-virus ne protège pas contre les DOS
- ni un antivirus ni un firewall ne protègent contre les trous de sécurité
des logiciels
- un proxy applicatif peut toujours être contourné
- tout système est vulnérable, c'est une question de moyens mis en oeuvre
par l'attaquant ; inversement, en y mettant beaucoup de moyens on peut
rendre le système plus résistant : c'est une question de moyens
financiers et / ou humains.
- la sécurité par l'obscurité ne fonctionne pas.
- Vous n'avez jamais été victime de la moindre attaque ? Vous êtes viré.
On devra combiner plusieurs lignes de défense :
- sécurisation des serveurs et des stations
- architecture du réseau (segmentation, routeurs, firewalls...)
- antivirus
- sauvegardes
- analyse de logs
- préparation à un fonctionnement dégradé
- ...
Le facteur humain est primordial : formation des utilisateurs, formation des administrateurs réseau, intégration de la politique de sécurité dans les préoccupations des responsables de l'entreprise, politique de communication.
Le premier principe est : on ne laisse actifs que les services indispensables. Un service ne doit pas tourner avec des droits d'administrateur, si possible on fera un chroot (exécution en environnement fermé). Voir sous les Unix (au sens large) nmap et netstat pour les ports ouverts, et ps axu pour les processus.
On traitera les stations comme les serveurs : mise à jour de l'OS, des applications...
Services à désactiver : telnet (utiliser ssh), rpc, ftp (sauf si vous avez un serveur ftp anonyme)...
Alertes de sécurité : un administrateur réseau doit être au courant des vulnérabilités des logiciels qu'il utilise dans les heures qui en suivent la publication, et doit alors décider de l'opportunité des mises à jour. Les sources classiques sont le CERT et BugTraq
Antivirus : installer les mises à jour dès leur disponiblité. Utiliser plusieurs antivirus pour les cas douteux.
Analyse des logs : elle doit permettre de déceler les choses inhabituelles. On mettra en place un système qui envoie automatiquement par mail les événements douteux. Un IDS genre snort ou Prelude peut aider à identifier certains types d'attaques.
Le principe est : on crée des sous-réseaux regroupant les utilisateurs ayant les même droits, et on place dans ces sous-réseaux les serveurs qui ne doivent être accessibles qu'à ces utilisateurs-là (éventuellement derrière un firewall). Les serveurs qui ne doivent être accessibles qu'en interne seront invisibles de l'extérieur. Les serveurs qui doivent être visibles de l'extérieur seront placés dans une DMZ (zone isolée par un ou des firewalls)
Sécurisation par hôte. Pour les machines sous Windows, ne pas utiliser Outlook Express ni Internet Explorer, installer un firewall.
Utiliser un firewall (routeur filtrant), éventuellement un proxy applicatif et un serveur de mail avec antivirus.
DMZ obligatoire. En l'absence de compétences internes, faire appel à une société de service (et non pas au copain du cousin du commercial).
Commencer par fréquenter les newsgroups (forums) fr.comp.securite et fr.comp.securite.virus
Voir les bouquins de chez O'Reilly sur les réseaux TCT/IP et les firewalls.
Dernière mise à jour le lundi 25 mars 2002