e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


en flag Read it in english with google

La monotonie est un truc difficile à vivre...même quand-il s'agit de fond d'écran :)
Alors depuis quelques mois j'utilise un script en python (que vous trouverez par ici) qui change l'arrière plan du bureau en allant chercher les images sur le site ftp de gnome.org . On peut programmer les changements par crontab bien entendu...malgré que moi je préfère "décider" quand je veux le faire :)

Le chemin exact (actuellement) est "ftp.gnome.org/pub/GNOME/teams/art.gnome.org/backgrounds/"....s'il change il vous suffit de modifier le chemin dans le script ou trouver un miroir (sur ftp.linux.org.uk par exemple)

Je sais, il y a sûrement des applications qui font ça ... mais je préfère voir ce qui tourne sur ma machine :)

UPDATE 21/12/2008 :

Apparemment, il y en a beaucoup qui préfèrent des applis plus riches...guidées à la souris :).....si vous vous reconnaissez allez voir par ici :)


.

en flag Read it in english with google

Depuis l'attaque du site de la poste.dz, largement commenté ici et , le service ccp (ccp.poste.dz ou eccp.poste.dz) est "aléatoirement" accessible, au grand dam des gens voulant voir ce qu'il y a dans leurs comptes. Bien que l'attaque menée contre le site a eu comme effet le defacement de la page d'accueil, ce genre de "prouesse" est communément le propre des apprentis pirates (alias Script Kiddies). Le vrai "hacking" est une sorte d' "exploration intellectuelle", or ce qu'a été fait (defacement) ne nécessite que quelques cellules du cerveau pour réussir ! Mais les conséquences sont bien plus graves que l'acte initial...ça s'applique l'effet papillon ici ?

Revenons à nos affaires...de part ce billet j'essayerais humblement d'apporter une contribution pour une approche professionnelle de sécurisation d'infrastructures telles que celle de la poste (portail web et les services associés). Cette même approche, étant basée sur le bon sens et les best practicies peut être appliquée (après adaptation) même à de petits réseau.

Alors, avant d'entamer la discussion des actions de sécurisation, quelques remarques ou mises au point pour cadrer la suite :

1- Tout d'abord je n'invente rien ! Tout professionnel de la sécurité des SI devrait, sinon adhérer, au moins connaître ce type d'approche. C'est largement traité et discuter dans la documentation ou sur les sites spécialisés.

2- Ne connaissant pas en détail les systèmes, applications et outils composant l'infrastructure de la poste.dz, ces recommandations resterons générales et sûrement incomplètes... la solution "universelle" n'existe pas.

3- Toute solution de sécurité a pour finalité d'assurer les trois exigences de sécurité suivantes :

- Confidentialité
- Intégrité
- Disponibilité

4- La sécurité à 100%, autant que le risque 0....ça n'existe pas. Tout ce qu'on fait, c'est de minimiser ce risque, c'est élever la barre le plus haut possible pour rendre une attaque réussie "coûteuse" pour l'attaquant en termes de ressources (compétences, outils) et de temps.


Maintenant, commençons l'analyse :


A- Le plus important : on veut protéger quoi ? quels sont les "actifs" (assets) ?

Seuls les gens de la poste peuvent répondre avec précision à cette question !
Si on se limite à un portail Web, on peut citer ce qui suit comme des éléments à protéger (entre autres) :

- le serveur Web
- le(s) serveur DNS
- les autres serveurs (base de données ? serveur d'application ? serveur de messagerie ?...)
- les équipements réseau
- les solutions de sécurité (Firewall, IDS,....)
- les stations d'administrations
- .........

B- D'accord, après cet "inventaire", le moment est venu pour définir notre approche de sécurisation. Elle se présente en trois volets :

1- Prévention et protection
2- Détection
3- Réponse et recouvrement

Dans le volet Prévention et protection on devra mettre en place toutes les solutions permettant de prévenir le plus possible d'attaques, en éliminant le plus de vulnérabilités possibles et en installant les éléments de protections nécessaires. Quelques exemples parmi les plus importants :

- Le design ou l'architecture. Une mauvaise architecture est la première vulnérabilité à traiter. Une isolation rigoureuse par la création de différentes zones (DMZ) est à implémenter.
- Les firewalls pour le filtrage strict des flux réseau entres les zones crées. Le contrôle d'accès doit obéir au principe du "default deny" : tout est interdit sauf ce qui est explicitement autorisé. Un autre principe à considérer est l'interdiction des flux d'une zone "moins sécurisée" vers une autre de niveau de sécurité plus élevé (zone Web vers les serveurs de bases de données internes par exemple)
- L'utilisation de firewalls "applicatifs" pour parer aux éventuelles vulnérabilités liées aux applications (le reverse proxy pour le serveur Web par exemple)
- La mise en place d'une procédure de mise à jour des systèmes d'exploitation et des différents services ou applications exploitées.
- La revue et le renforcement de l'ensemble des configurations (systèmes d'exploitation, services, applications, équipements....) et l'application du principe de "minimisation des privilèges" : une application donnée ne devra tourner qu'avec un utilisateur normal et non avec les privilèges du compte Root ou Administrateur

Est-ce que ces mesures vont nous assurer une protection totale ? Malheureusement non ! Une solution de Détection des "comportements suspects" doit être mise en place. Plusieurs options complémentaires s'offrent à nous :

- Les Sondes de Détection d'intrusion réseau ou NIDS
- Les IDS surveillant un host (serveur généralement) ou HIDS
- et surtout, mettre en place une solution de gestion centralisée des logs. Sans logs vous n'avez aucune chance de voir ce qui se passe sur votre réseau et dans vos systèmes.

D'accord on a mis en place tous ça....et après ? eh ben il faut se préparer au jour où il y aura une attaque réussie (une vraie svp...pas un defacement :))
La seule chose qui vous sauvera c'est un "plan de reprise après incident", bien sûr dimensionné selon votre cas. Une chose simple que je conseil à beaucoup de clients est de mettre en place des machines virtuelles avec des systèmes d'exploitation différents et des "versions" d'applications différentes. Ça permettra une reprise rapide en cas d'attaque sur un élément particulier (faille inconnue sur un système d'exploitation, vulnérabilité applicatifs...)

C- Une fois ce "minimum" mis en place, pourquoi ne pas aller vers une "normalisation" de la gestion de la sécurité ? ISO27000 ça vous intéresse ?


A la fin, je voudrais ajouter que plusieurs aspects ou points n'ont pas été traités...j'ai voulu être plus "concret" par rapport au cas poste.dz. De plus, j'ai évité de parler des "problèmes" de configuration actuelles pour rester constructif. Toute amélioration du niveau de sécurité du portail poste.dz est le souhait de tout le monde, et s'ils réussissent à le faire et à maintenir ce niveau tout en offrant les différents services aux citoyens ça sera tout à leur honneur.


.

Inscription à : Articles (Atom)