Le top 10 des vulnérabilités systèmes Unix/Windows
|
Thread Tools | Display Modes |
#2
|
||||
|
||||
Re: Le top 10 des vulnérabilités systèmes Unix/Windows
On remarquera que sous Windows la plupart des failles touchent directement l'utilisateur dans un contexte desktop, autrement dit nous . Je trouve regrettable que des failles Outlook ou IE figurent à ce tableau, parce que parser et afficher de l'HTML ne devrait pas avoir d'incidence sur le système ...
Pour Unix, bah Bind a toujours été un logiciel critique, et sa version 9, ptrès "usine à gaz", ne fait pas l'unnanimité. Les failles RPC c'est bien plus chiant ... mais utiliser RPC est un choix, il faut donc savoir sécuriser son infrastructure en conséquence. Apache, très exposé, est bien sur sujet à certaines failles de sécurité, mais elles sont corrigées très rapidement, et la série 1.x n'accepte désormais plus que des bugfixes et est plutôt fiable. Le point 4 vient des administrateurs qui laissent des comptes avec mots de passes triviaux ... sans commentaire. De même pour les échanges de données non cryptée, qui peuvent parfaitement l'être avec un bon tunelling ssh ou IPSec. Pour Sendmail, le même constat que pour Bind est applicable : les applications obèses contiennent une plétorde de bugs et sont très difficiles à auditer. Ceci dit, qmail existe et est un peu plus propre que Sendmail. Ensuite, pour SNMP je ne pourrais pas vous éclairer parce que je n'ai jamais eu à l'utiliser. Pour SSH, là c'est vraiment critique parce qu'il est activé sur de nombreux serveurs : il doit être configuré de manière très restrictive, mais n'est, malgrès sa bonne conception, pas à l'abri de bugs. Le point 9 est encore dû aux négligences des administrateurs. Bref, il faut garder à l'esprit qu'une box bien configurée limite grandement les dégats dans tous les cas. N'activer que les services nécessaires, préparer ses défenses log/firewall/restrictions d'accès et mettre à jour régulièrement les applications "critiques" (SSH, Bind, Apache, ...), si possible en s'abonnant aux mailing lists "announce" de ces logiciels. Une technique élémentaire consiste à partir de rien pour arriver au strict nécessaire, et reconsidérer tout les composants à intégrer, évaluer leur utilité et leur potentiel en terme de sécurité. De même, il est possible de limiter les risques à la compilation en utilisant Pax, stack-smashing protector, RSBAC ... Si cette politique prévaut pour les serveurs, les workstations en proffiteront aussi ... reste qu'une workstation seule ne peut faire face à toutes les attaques, elle est bien trop vulnérable de part le nombre incalculable de paramètres qui peuvent compromettre sa sécurité. Une workstation a donc besoin d'un serveur/routeur pour la protéger, de manière à n'être pas la cible directe en cas d'attaque frontale. Du reste, il ne faut pas non plus céder à la paranoïa, automatisez au maximum les tâches de maintenance telles que la sauvegarde ou la mise à jour, et gardez un oeil ouvert si quelque chose d'anormal se produit. Documentez-vous : rien n'est pire que de suivre les rumeurs en matière de sécurité. Un administrateur bien documenté vaut mieux que tous les logiciels de protection configurés à la va-vite, et qui ne donnent finalement qu'une impression trompeuse de sécurité. Une bonne idée du SANS, qui nous a réalisé un excellent article que je vous conseille de lire en intégralité, vous pouvez comparer un petit scan de port sur votre machine à la liste de ports communs contenus dans "Appendix A Common Vulnerable Ports" à la fin de l'article. Il convient également de faire le ménage dans ses scripts de démarrage et ses services, et de configurer une fois pour toutes correctement son firewall.
__________________
Eh y'a une grenouill' sur le bureau !!! ... non Gaston y'a pas d'grenouille sur le bureau Eh y'a un gorille devant la porte !!! ... non Gaston y'a pas de gorille devant la porte Weua y'a un p'tit oiseau sur la table !!! ... non Gaston Last edited by Fred; 10-10-2003 at 18:14. |
#3
|
|||
|
|||
Re: Le top 10 des vulnérabilités systèmes Unix/Windows
Très bon message Fred !
Pour windows, finalement c'est un peu pareil : W1 Internet Information Services (IIS) W2 Microsoft SQL Server (MSSQL) On vire, c'est tout, aucun interet, et ça marche mal ! W3 Windows Authentication No comment, compte admin avec mot de passe... Et non utilisé ! W4 Internet Explorer (IE) Bin heu, mises à jour sur Windows Update très régulièrement, c'est tout... W8 Microsoft Outlook Outlook Express Pareil de IE, bien qu'on supprime le Express de suite... W9 Windows Peer to Peer File Sharing (P2P) On prend du fiable, on met à jour... W5 Windows Remote Access Services Mise à jour... Firewall... Scan des ports... W6 Microsoft Data Access Components (MDAC) W7 Windows Scripting Host (WSH) W10 Simple Network Management Protocol (SNMP) Aucune idée, maj probablement... Et du coup pas de problèmes On installe le Fred's Windows XP SP1b 1.2a, puis un windows update pour rajouter les nouveautés depuis (d'ailleur une petite mise à jour ferait du bien )... Et voila, windows est correctement sécurisé... Maintenant comme Fred l'a dit, quelque soit le système, nn est jamais à l'abris des problèmes, donc sauvegardes regulières (perso tous les jours sur mon serveur, et toutes les semaines sur CD. Et voila ! |
#4
|
|||||
|
|||||
Re: Le top 10 des vulnérabilités systèmes Unix/Windows
Quote:
A ce propos, la version 1.7 [Apache 1.3.27 - PHP 4.3.3 - MySQL 4.0.15 - PhpMyAdmin 2.5.3] est sortie le 8 octobre ! Je ferais probablement une news demain matin dessus . Pour ceux que ca intéresse : http://www.easyphp.org/telechargements.php3 Quote:
http://isc.sans.org/top20.html#w3 Quote:
Quote:
Quote:
__________________
Eh y'a une grenouill' sur le bureau !!! ... non Gaston y'a pas d'grenouille sur le bureau Eh y'a un gorille devant la porte !!! ... non Gaston y'a pas de gorille devant la porte Weua y'a un p'tit oiseau sur la table !!! ... non Gaston |
#5
|
|||
|
|||
Re: Le top 10 des vulnérabilités systèmes Unix/Windows
Ba pour le porblème de l'integration d'Ie dans Windows, il faut avouer que ca presente pas mal d'avantages aussi.
Je ne parlerais pas du temps de chargement de IE qui est inexistant, même sur une machine un peu dépassée... Et après niveau interface, et tout, c'est bien sympa. Par contre Active X, ça c'est un problème (encore que ça a évolué !) Ton lien a l'air très interessant ! Je lirais cela à tete reposée A propos y en a t'il par ici qui sont à fond dans le webmastering, php, mysql, ou dhtml, normes, ou encore javascript... Ou même eventuellement tout sur la configuration d'un serveur pour apache par exemple... Bref tout ce qui touche le webmastering de près ou de loin... D'ailleur par exemple securisé un site web, un serveur web... Bref, si il y a des personnes repondant à cette description et motivés, n'hesitez pas à me contacter |
#6
|
||||
|
||||
Re: Le top 10 des vulnérabilités systèmes Unix/Windows
Quote:
Quote:
Serieusement, EasyPHP est très bien fait et répond parfaitement à une utilisation comme serveur perso http.
__________________
Eh y'a une grenouill' sur le bureau !!! ... non Gaston y'a pas d'grenouille sur le bureau Eh y'a un gorille devant la porte !!! ... non Gaston y'a pas de gorille devant la porte Weua y'a un p'tit oiseau sur la table !!! ... non Gaston |
#7
|
||||
|
||||
Re: Le top 10 des vulnérabilités systèmes Unix/Windows
Quote:
|
Bookmarks |
«
Previous Thread
|
Next Thread
»
Currently Active Users Viewing This Thread: 1 (0 members and 1 guests) | |
|
|
Similar Threads | ||||
Thread | Thread Starter | Forum | Replies | Last Post |
Quel(s) système(s) d'exploitation... | chalouf | Discussions | 33 | 09-02-2004 17:24 |
All times are GMT +2. The time now is 19:12.
Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.