e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


en flag Read it in english with google

Des fois des petits gestes de rien du tout, un petit choix concernant un petit cas dans une petite solution technique...des fois ça casse la baraque !!!

En essayant de régler un problème de communication réseau entre les clients et le serveur d'une application chez un client, j'ai aller regarder du côté de la configuration firewall. Et là deux problèmes !

En premier, les administrateurs n'ayant pas trouvé avec exactitude les ports de communication ... eh ben il ont mis la "solution finale" :

any source any destination any service => permit
Ok, j'avoue que la doc de l'application n'est pas fameuse...mais il y a quand même du bon sens.

Déjà, on connaît le serveur, mettant alors son adresse. On connaît les clients, mettant alors leurs adresses. Maintenant pour les ports...et ben, il suffit de sniffer quelques sessions, et on finira par trouver les bons !

Je sais, il y a des cas où c'est dynamique...là il faut aller au fond des choses : changer les paramètres dans l'application elle même ou même faire de la translation juste avant...ça complique un petit peu le design, mais par rapport au réseau en question, c'est plus sécurisé.

Le deuxième problème c'est quand je regarde la conf des firewalls : du "any any" partout !!!! et c'est quoi l'excuse ? ils l'ont fait momentanément pour ne pas bloquer les utilisateurs et ils ont oublié de les revoir ... pour quelques années !!!

Là franchement, je conseil un truc assez original : vous vous compliquez la vie avec ces foutus firewalls, ces foutus configs, ces foutus utilisateurs ingrats et incultes....ouvrez tout, libérez tout ... et vous serais dans une situation meilleure que celle actuelle ! Pourquoi ? et ben maintenant au moins on sait quel est le niveau réel de nos protections....c'est nettement mieux que l'ignorance !


.

0 commentaires

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)