[Werner]

Le site SANS a mis en ligne le top 10 des vulnérabilités systèmes Unix et Windows.

Top Vulnerabilities to Windows Systems

W1 Internet Information Services (IIS)
W2 Microsoft SQL Server (MSSQL)
W3 Windows Authentication
W4 Internet Explorer (IE)
W5 Windows Remote Access Services
W6 Microsoft Data Access Components (MDAC)
W7 Windows Scripting Host (WSH)
W8 Microsoft Outlook Outlook Express
W9 Windows Peer to Peer File Sharing (P2P)
W10 Simple Network Management Protocol (SNMP)

Top Vulnerabilities to UNIX Systems

U1 BIND Domain Name System
U2 Remote Procedure Calls (RPC)
U3 Apache Web Server
U4 General UNIX Authentication Accounts with No Passwords or Weak Passwords
U5 Clear Text Services
U6 Sendmail
U7 Simple Network Management Protocol (SNMP)
U8 Secure Shell (SSH)
U9 Misconfiguration of Enterprise Services NIS/NFS
U10 Open Secure Sockets Layer (SSL)

Source : Bink.nu

[Fred]

On remarquera que sous Windows la plupart des failles touchent directement l'utilisateur dans un contexte desktop, autrement dit nous . Je trouve regrettable que des failles Outlook ou IE figurent à ce tableau, parce que parser et afficher de l'HTML ne devrait pas avoir d'incidence sur le système ...

Pour Unix, bah Bind a toujours été un logiciel critique, et sa version 9, ptrès "usine à gaz", ne fait pas l'unnanimité. Les failles RPC c'est bien plus chiant ... mais utiliser RPC est un choix, il faut donc savoir sécuriser son infrastructure en conséquence. Apache, très exposé, est bien sur sujet à certaines failles de sécurité, mais elles sont corrigées très rapidement, et la série 1.x n'accepte désormais plus que des bugfixes et est plutôt fiable. Le point 4 vient des administrateurs qui laissent des comptes avec mots de passes triviaux ... sans commentaire. De même pour les échanges de données non cryptée, qui peuvent parfaitement l'être avec un bon tunelling ssh ou IPSec. Pour Sendmail, le même constat que pour Bind est applicable : les applications obèses contiennent une plétorde de bugs et sont très difficiles à auditer. Ceci dit, qmail existe et est un peu plus propre que Sendmail. Ensuite, pour SNMP je ne pourrais pas vous éclairer parce que je n'ai jamais eu à l'utiliser. Pour SSH, là c'est vraiment critique parce qu'il est activé sur de nombreux serveurs : il doit être configuré de manière très restrictive, mais n'est, malgrès sa bonne conception, pas à l'abri de bugs. Le point 9 est encore dû aux négligences des administrateurs.


Bref, il faut garder à l'esprit qu'une box bien configurée limite grandement les dégats dans tous les cas. N'activer que les services nécessaires, préparer ses défenses log/firewall/restrictions d'accès et mettre à jour régulièrement les applications "critiques" (SSH, Bind, Apache, ...), si possible en s'abonnant aux mailing lists "announce" de ces logiciels. Une technique élémentaire consiste à partir de rien pour arriver au strict nécessaire, et reconsidérer tout les composants à intégrer, évaluer leur utilité et leur potentiel en terme de sécurité. De même, il est possible de limiter les risques à la compilation en utilisant Pax, stack-smashing protector, RSBAC ...

Si cette politique prévaut pour les serveurs, les workstations en proffiteront aussi ... reste qu'une workstation seule ne peut faire face à toutes les attaques, elle est bien trop vulnérable de part le nombre incalculable de paramètres qui peuvent compromettre sa sécurité. Une workstation a donc besoin d'un serveur/routeur pour la protéger, de manière à n'être pas la cible directe en cas d'attaque frontale.

Du reste, il ne faut pas non plus céder à la paranoïa, automatisez au maximum les tâches de maintenance telles que la sauvegarde ou la mise à jour, et gardez un oeil ouvert si quelque chose d'anormal se produit. Documentez-vous : rien n'est pire que de suivre les rumeurs en matière de sécurité. Un administrateur bien documenté vaut mieux que tous les logiciels de protection configurés à la va-vite, et qui ne donnent finalement qu'une impression trompeuse de sécurité.


Une bonne idée du SANS, qui nous a réalisé un excellent article que je vous conseille de lire en intégralité, vous pouvez comparer un petit scan de port sur votre machine à la liste de ports communs contenus dans "Appendix A Common Vulnerable Ports" à la fin de l'article. Il convient également de faire le ménage dans ses scripts de démarrage et ses services, et de configurer une fois pour toutes correctement son firewall.

[MrDaweb]

Très bon message Fred !

Pour windows, finalement c'est un peu pareil :

W1 Internet Information Services (IIS)
W2 Microsoft SQL Server (MSSQL)
On vire, c'est tout, aucun interet, et ça marche mal !

W3 Windows Authentication
No comment, compte admin avec mot de passe... Et non utilisé !

W4 Internet Explorer (IE)
Bin heu, mises à jour sur Windows Update très régulièrement, c'est tout...

W8 Microsoft Outlook Outlook Express
Pareil de IE, bien qu'on supprime le Express de suite...

W9 Windows Peer to Peer File Sharing (P2P)
On prend du fiable, on met à jour...

W5 Windows Remote Access Services
Mise à jour... Firewall... Scan des ports...

W6 Microsoft Data Access Components (MDAC)
W7 Windows Scripting Host (WSH)
W10 Simple Network Management Protocol (SNMP)
Aucune idée, maj probablement...

Et du coup pas de problèmes
On installe le Fred's Windows XP SP1b 1.2a, puis un windows update pour rajouter les nouveautés depuis (d'ailleur une petite mise à jour ferait du bien )...

Et voila, windows est correctement sécurisé...
Maintenant comme Fred l'a dit, quelque soit le système, nn est jamais à l'abris des problèmes, donc sauvegardes regulières (perso tous les jours sur mon serveur, et toutes les semaines sur CD.

Et voila !

[Fred]

Quote:

Originally Posted by MrDaweb

W1 Internet Information Services (IIS)
W2 Microsoft SQL Server (MSSQL)
On vire, c'est tout, aucun interet, et ça marche mal !

De toute façon c'est pas installé par défaut sur nos machines. Je tiens d'ailleurs à préciser à ceux qui auraient l'idée de monter un serveur web perso qu'au lieu d'utiliser IIS, ils peuvent penser à Apache, même sous Windows
A ce propos, la version 1.7 [Apache 1.3.27 - PHP 4.3.3 - MySQL 4.0.15 - PhpMyAdmin 2.5.3] est sortie le 8 octobre ! Je ferais probablement une news demain matin dessus . Pour ceux que ca intéresse :
http://www.easyphp.org/telechargements.php3

Quote:

W3 Windows Authentication
No comment, compte admin avec mot de passe... Et non utilisé !

D'ailleurs, sur le site du CERT ils s'étendent pas mal sur le sujet, comment se protéger, comprendre un peu comment ca marche, c'est assez bien fait et on apprend quasiment tout ce qu'il faut savoir :
http://isc.sans.org/top20.html#w3

Quote:

W4 Internet Explorer (IE)
Bin heu, mises à jour sur Windows Update très régulièrement, c'est tout...
W8 Microsoft Outlook Outlook Express
Pareil de IE, bien qu'on supprime le Express de suite...

Perso, je trouve ca un peu gênant qu'IE et Outlook présentent autant de failles de sécurité ... avec Mozilla par exemple, ils se sont cantonnés à un navigateur web et ils n'ont pas les problèmes d'Active X (qui ne sert à rien d'autre qu'à Windows Update ...) et l'implémentation d'explorer au sein de Windows.

Quote:

W9 Windows Peer to Peer File Sharing (P2P)
On prend du fiable, on met à jour...

Je savais même pas que ca existait ca

Quote:

On installe le Fred's Windows XP SP1b 1.2a, puis un windows update pour rajouter les nouveautés depuis (d'ailleur une petite mise à jour ferait du bien )...

Ca viendra en son temps, peut-être fin de la semaine prochaine

[MrDaweb]

Ba pour le porblème de l'integration d'Ie dans Windows, il faut avouer que ca presente pas mal d'avantages aussi.
Je ne parlerais pas du temps de chargement de IE qui est inexistant, même sur une machine un peu dépassée... Et après niveau interface, et tout, c'est bien sympa.

Par contre Active X, ça c'est un problème (encore que ça a évolué !)

Ton lien a l'air très interessant ! Je lirais cela à tete reposée
A propos y en a t'il par ici qui sont à fond dans le webmastering, php, mysql, ou dhtml, normes, ou encore javascript... Ou même eventuellement tout sur la configuration d'un serveur pour apache par exemple... Bref tout ce qui touche le webmastering de près ou de loin... D'ailleur par exemple securisé un site web, un serveur web...

Bref, si il y a des personnes repondant à cette description et motivés, n'hesitez pas à me contacter

[Fred]

Quote:

Originally Posted by MrDaweb

Par contre Active X, ça c'est un problème (encore que ça a évolué !)

Domage qu'ActiveX soit totalement inutile, mais qu'il représente une grande partie des failles de sécurité IE

Quote:

A propos y en a t'il par ici qui sont à fond dans le webmastering, php, mysql, ou dhtml, normes, ou encore javascript... Ou même eventuellement tout sur la configuration d'un serveur pour apache par exemple... Bref tout ce qui touche le webmastering de près ou de loin... D'ailleur par exemple securisé un site web, un serveur web...

Bah, spa compliqué, tu double-cliques sur "EasyPHP-1.7.exe"
Serieusement, EasyPHP est très bien fait et répond parfaitement à une utilisation comme serveur perso http.

[Werner]

Quote:

W1 Internet Information Services (IIS)
W2 Microsoft SQL Server (MSSQL)
On vire, c'est tout, aucun interet, et ça marche mal !

T'es vilain de dire ça MrDaweb bon IIS je ne l'utilise pas donc je n'en parlerais pas , mais il ne faut pas dire que SQL Server c'est mal car ça fonctionne très bien et c'est même assez rapide par contre comme c'est un produit MS il faut le patcher contre les petits virus qui traînent...