top20 des erreurs

Posté par  . Modéré par oliv.
Étiquettes :
0
3
oct.
2001
Sécurité
SANS (System Administration, Networking, and Security) Institute propose un document regroupant les 20 principales lacunes à eviter pour sécuriser vos machines sur un réseau.

le document a été mis à jour hier.

Aller plus loin

  • # c'est vraiment les principales ...

    Posté par  . Évalué à 10.

    On apprend pas grand chose dans ce document. En plus ca fait même pas 20 pour Linux si on retire les lacunes windows ...
    On retrouve ce que tout sysadmin connait (enfin je pense car moi qui ne le suis pas, je connaissait déja). Le bugs de sendmail, de bind, le r-commandes, les mots de passe, les install par defaut, les ports ouverts, le filtrage de paquet, les logs, les sauvegardes ...
    bref, c'est un bon rappel de ce qu'il ne faut surtout pas oublier mais ce n'est surement pas suffisant.

  • # C'est encore plus bete que le top10...

    Posté par  . Évalué à 10.

    Je pensais qu'on avait touché le fond avec le top10, mais SANS nous confirme qu'ils ne font pas vraiment de la sécurité en sortant le top 20.

    Déjà, faire un "top" des vulnérabilités, c'est stupide. Une vulnérabilité, ça reste une vulnérabilité. Le fait qu'elle soit populaire ou non, ça ne sécurise pas un serveur. Si je me fait pirater à cause de la 21ème vulnérabilité la plus populaire, à la fin de la journée je me suis quand meme fait pirater.

    L'effort qu'ils ont voulu faire pour le top 20, c'est d'être moins spécifique que le top 10. C'est vrai que deux mois après la sortie du top 10, les premières vulnérabilités Unicode sont sorties, et pourtant ils n'ont pas mis à jour leur document à ce moment là - ils ont attendu un an pour le faire. ça fait beaucoup quand meme...

    Mais à cause de ça, on se retrouve avec des vulnérabilités "bateau", telles que "installation par défaut d'un OS". Qu'est-ce que ca veut dire ? OpenBSD, par défaut, est quand meme plus sûr qu'un Windows sur lequel il ne reste qu'un IIS. NetBSD, par défaut, n'écoute sur aucun port. On ne peut pas vraiment faire plus vague - dans le meme ordre d'idée, je pourrais faire un Top 1 qui serait "les systèmes ayant de problèmes de sécurité et n'étant pas bien configurés".


    Ce type de document, à mon gout, ça n'est qu'une opération de pub. Ca fait bien, ça permet aux CIO et autres Security Officers de se faire payer des cours à SANS, mais en pratique ça ne sert à rien. Le problème c'est que j'ai vu des gens, il y a encore trois mois, venir à moi avec la liste du top 10, voulant à tout prix fixer les problèmes décrits, pas ceux qui existent dans le vrai monde, parceque "ca vient de SANS". Et je les ai vu cocher un à un les problèmes.

    Résultat, ils ont bien protégé certaines choses, mais ils ont été vulnérable à CodeRed, parcequ'ils ont pratiqué la politique du moindre effort (on ne fixe QUE ce qu'on nous a dit de fixer).

    Donc pour tous ceux qui veulent de la vrai sécurité, et non de la sécurité "politique" ("regardez chef! Je m'étais bien protégé, j'avais appliqué le top NN"), je recommande d'au moins vous abonner à la mailing list sécurité de votre distrib, et d'appliquer tous les patches
    (et de désactiver les services non utilisés, etc, etc...), mais pas de vous cantonner à une liste des choses à faire.

    - Renaud.

    • [^] # Re: C'est encore plus bete que le top10...

      Posté par  . Évalué à 10.

      Ce type de document, à mon gout, ça n'est qu'une opération de pub. Ca fait bien, ça permet aux CIO et autres Security Officers de se faire payer des cours à SANS, mais en pratique ça ne sert à rien. Le problème c'est que j'ai vu des gens, il y a encore trois mois, venir à moi avec la liste du top 10,


      C'est bien là la différence entre un admin et un décideur.

      Le decideur il tape en touche avec un "ho bah moi j'ai fait ce qu'il y avait de marqué sur ma liste"

      L'admin il essaye de comprendre et essaye de faire avancer les choses.

      /me qui est un peu brouillé avec les décideurs des fois ;-)

      • [^] # Re: C'est encore plus bete que le top10...

        Posté par  . Évalué à 10.

        >L'admin il essaye de comprendre et essaye de faire avancer les choses.

        je dirait : un Admin regarde la liste que le décideur lui montre fièrement et puis point par point va dire : "alors... ça c'est fait, celui là il nous concerne pas... ce truc là je l'ai fait l'année dernière...". Un admin aura normalement déjà fait ce qu'il faut.

        MAIS, Conseil Politique :
        La personne qui vous ammène ce doc aura montré son interêt vis-à-vis de la sécurité de son système. Il fait l'effort de vous le montrer, c'est pas pour se faire jeter avec un "boah, tout ça c'est bateau". Alors comment réagir face au décideur ?

        Le but est que la personne qui est rentrée dans votre bureau reparte contente d'elle même et fière de son équipe.

        Vous avez perdu si après un rapide coup d'oeil sur la liste, vous répondez "boah c'est que des vieux pb, ça nous concerne pas" : pour le décideur, SANS parraît comme une référence, et vous -son employé- dites que c'est des conneries (et implicitement que vous êtes mieux...) il ne vous prendra pas au sérieux.
        Par contre, si vous lui démontrer que vous avez anticipé la majorité des conseils donné par cette liste, MAIS qu'il à bien fait de soulever tel point et que vous aller enquêter et voir ce qu'il y a à faire, et au cas écheant préparer un plan d'actions, alors vous avez gagné un point. (ils aiment le terme plan d'actions)
        Le bonus c'est que vous lui mailler quelques jours plus tard, qu'après vérification de l'état actuel des systèmes, vous n'êtes pas soumis à tel problème de sécurité. Comme ça ca lui fait un truc en moins à gerer et il se dit que c'est grace à un bon admin : vous.

        Si vous continuer comme ça, vous aller finir par être augmenté :)

        • [^] # Re: C'est encore plus bete que le top10...

          Posté par  . Évalué à -4.

          c'est subtil, un peu de tact et de psychologie en somme.

          le plus difficile étant d'y penser face a ces situations : si le gars vient avec sa liste de pb de sécurité, c'est peut-etre qu'il doute de ton boulot... faut pas se laisser emporter !

        • [^] # Re: C'est encore plus bete que le top10...

          Posté par  . Évalué à 2.

          Très bonne compréhension de la psychologie du décideur ;-)
          Mieux, vous pouvez soumettre vous même la liste en question s'il ne la connait pas,
          puis l'amener à vous proposer de préparer un plan d'actions qu'il vous sera facile
          de bâtir puisque vous aviez anticipé cette initiative, et il sera
          très content d'avoir eu une telle idée et de pouvoir se reposer sur
          une équipe aussi efficace, et vous serez augmenté encore plus vite :-)

    • [^] # Re: C'est encore plus bete que le top10...

      Posté par  . Évalué à -1.

      Une information même non exaustive, vaut mieux que rien du tout. Ceux que ça n'interressent pas, n'ont qu'à pas la lire. Pour les autres ça peut leur donner l'idée de creuser un peu plus. On ne peut pas tout connaitre sur tout, quel est l'admin ou l'utilisateur qui ne s'est jamais heurter a un problème qu'il n'as pas su résoudre de suite? ben moi j'en connais pas, on as tous nos limite de connaissance.

      Fred

      • [^] # Re: C'est encore plus bete que le top10...

        Posté par  . Évalué à -4.

        Absolument.
        Il ne faut pas oublier qu'il y a des gens qui comme moi sont des administrateurs du dimanche car ils ont à la maison une linuxette qui leur sert par exemple de passerelle et de firewall internet.
        Rappeler régulièrement les précautions élémentaires n'est pas inutile.
        J'irai voir aussi la doc de Debian, histoire de compléter mes connaissances.

      • [^] # Re: C'est encore plus bete que le top10...

        Posté par  . Évalué à 10.

        Je ne suis pas tout à fait d'accord. Il y a des guides de sécurisation Solaris, HP/UX, Linux et compagnie, seulement ils ne tiennent pas sur une seule page, et leur sortie n'est pas entourée de 30 articles de presse.

        Ce type de document (le top[12]0) ça donne aux gens qui ne savent pas trop un faux sentiment de sécurité, et la logique derrière sa rédaction c'est de tenter de simplifier le monde de la sécurité plutot que d'écrire un document simple, et c'est pour ça que je le trouve dangereux. Combien de petites sociétés vont appliquer ce document là plutot que de lire d'autres docs plus longues, donc "forcément plus couteuses à mettre en oeuvre" ?

        (maintenant, je reconnais que de par sa généralité, le top20 est quand meme bien mieux que le top10 de l'année dernière)

    • [^] # Re: C'est encore plus bete que le top10...

      Posté par  . Évalué à 6.

      Et surtout je pense que tu peches par exces de modestie, car si il existe un outil indispensable pour pouvoir verifier l'etat de securisation de ses systemes sans forcement etre un as de la securite, ce serait Nessus !
      Personellement je trouve cet outil formidable et surtout tres pratique pour verifier systematiquement et automatiquement un reseau.
      un lien : http://www.nessus.org(...)

  • # Sommaire

    Posté par  (site web personnel) . Évalué à 10.

    Pour tous les systèmes :
    * installation par défaut des systèmes ou des applications
    * comptes sans mot de passe ou avec mot de passe faible
    * pas de sauvegarde ou sauvegarde incomplète
    * un grand nombre de ports ouverts
    * pas de filtrage des paquets spoofés/falsifiés
    * pas de logs/traces ou logs/traces incomplèt(e)s
    * CGI vulnérables

    Les distributions peuvent déjà résoudre quasiment tous ces points (sauf les sauvegardes), par défaut .

    (snip la partie Windows, attention quand même à Samba/Netbios)

    Pour les Unix :
    * débordements de buffers/tampons dans les RPC
    * Sendmail
    * Bind
    * les R-commandes
    * lpd
    * sadmind (Solaris) et mountd
    * SNMP

    Solutions : virer l'inutile et patcher, ça limite déjà pas mal. Le filtrage aussi.

    Annexe A : liste des ports classiques vulnérables
    Annexe B : liste de contributeurs

  • # Distributions et package inutiles

    Posté par  (site web personnel) . Évalué à 0.

    Si on apprenait aux gens à ne garder que les softs qu'ils utilisent après une install, ca éviterait déjà pas mal de problèmes ! Style install redhat ou mandrake, tous les services sont installés et les démons activés, y compris (bien sur) les moins sécurisés. Résultat, obligation de désactiver tous les démons inutiles, de retirer éventuellement les softs pour éviter que quelqu'un les lance "accidentellement".
    Une machine qui ne répond à aucune requête réseau est une machine (a priori) bien sécurisée concernant les attaques réseau. Il faut faire des install minimales !

    • [^] # Re: Distributions et package inutiles

      Posté par  (site web personnel) . Évalué à -1.

      Et aussi être à jour au niveau sécurité (ce qui n'est pas la meme chose que d'avoir la dernière version) sur ce qui tourne et qui est utile.

      <trollonz1cou>Par exemple pour sendmail, il faut se mettre à jour toutes les semaines.</troll>

    • [^] # Re: Distributions et package inutiles

      Posté par  . Évalué à 10.

      Style install redhat ou mandrake, tous les services sont installés et les démons activés, y compris (bien sur) les moins sécurisés.

      Tu sais de quoi tu parles au moins ? La Mandrake installe très peu de services par défaut, et te met un warning lors de l'install en te donnant la liste des serveurs qui vont être installés.

      Sur ma babasse (MDK 8.1), après l'install, je n'avais que sshd qui tournait. Ce qui ne fait pas exactement " tous les services sont installés et les démons activés, y compris (bien sur) les moins sécurisés", tiens toi au courant avant de sortir des lieux communs sans fondement (t'as oublié le "Debian rules" à la fin de ton post, au fait).

      • [^] # Re: Distributions et package inutiles

        Posté par  . Évalué à -6.

        ca calme

      • [^] # Re: Distributions et package inutiles

        Posté par  . Évalué à -8.

        Oui "Debian rules" a été oublié à la fin du post, mais tu as été sympa de le rapellé à tout le monde !

        Merci beaucoup ! :)

      • [^] # Re: Distributions et package inutiles

        Posté par  (site web personnel) . Évalué à 1.

        Arrétons de confronter les distribs sur des problèmes de ce genre.

        C'est pas la faute à la machine vu que l'on peu, quelque soit la distrib, gérer les services et virer ce que l'on ne veut pas. Chacun doit avoir des notions de sécurité c'est très important.

        Sinon debian rules bien sur mais pour d'autres raisons purement subjectives.

      • [^] # Re: Distributions et package inutiles

        Posté par  (site web personnel) . Évalué à 2.

        Oui mais je pense qu'il est dommage qu'on ne puisse pas installer le serveur sans qu'il se lance. Il faut le changer après car à l'affichage de ce Warning on peut seulement annuler ou accepter et pas dire installer mais ne pas lancer au demarrage. Je pense à des choses comme cupsd que j'ai installé mais que je ne démarre que quand j'allume l'imprimante.

        Mais je reconnais que j'avais été agréablement surpris quand la Mandrake m'avait prévenu de la liste des erveurs qui seront démarrés et que c'est dangereux de laisser tourner des serveurs et que ma remarque tiendrait plus de la demande d'amélioration à aller poster chez Mandrake. Si j'ai le temps ce soir, je vérifierais que ça n'a pas changé dans la 8.1 et je le ferais...

        • [^] # Re: Distributions et package inutiles

          Posté par  . Évalué à 1.

          en fait on peut tres bien ouvrir une tonne de demons qui soient plus ou moins buggés. Ensuite, il s'git de ne pas les ouvrir a toute le planete.

          Il s'agit de donner des restrictions, en supposant que l'intranet est securisé (en fait c'est pas souvent le cas, a ce propos la DST viens faire un petit topo dans notre boite demain ... chouette).

          Pour gerer la securité, soit la config avec les regles du firewall (san doute le plus secure), et j'ai vu que xinitd.conf diposait de regles au niveau des adresses sources.

          voila-voila.

          • [^] # Re: Distributions et package inutiles

            Posté par  . Évalué à 3.

            Certes, certes... Mais ne pas oublier que le firewall est lui aussi une belle illusion de sécurité (qui impressionne/rassure beaucoup le neu²^H^H^Hdécideur, va savoir pourquoi) !
            Filtrer à l'entrée c'est bien (c'est même indispensable), mais ça ne suffit pas, pour une boîte, il faut aussi filtrer en interne. Et puis, si tu as une faille dans ton firewall ? bah si à l'intérieur c'est sécurisé aussi, si tu lis les logs, etc, tu auras de bonne chances de réagir assez vite, mais si c'est le bordel tu vas te retrouver à ne rien pouvoir faire.

            Par contre, ça peut effectivement être une bonne idée d'avoir un environnement de test, mais il doit être parfaitement (je sais, ça n'existe pas en securité) isolé du reste. l'idéal étant qu'il soit physiquement isolé du reste, ou alors sur un réseau utilisant un protocole différent (là, ça commence à devenir difficile de rentrer); les possibilités sont nombreuses.

            Même si pour le particulier, un firewall peut suffire, comme disait l'autre, une machine est secure quand elle est debranchée et dans un coffre-fort à l'intérieur d'un bunker. Et encore.

            --
            nodens, toujours pas identifié.

        • [^] # Re: Distributions et package inutiles

          Posté par  . Évalué à 5.

          Sur ma Deb aussi, quand j'installe Exim ou Apache il se lance au démarrage.

          Au moins avec la MDK (et la RH) t'as l'utilitaire chkconfig pour changer les services lancés selon les runlevels (d'ailleurs s'il existe un truc du même style sous Deb, je suis intéressé).

          • [^] # Re: Distributions et package inutiles

            Posté par  (site web personnel) . Évalué à 2.

            C'est sur que pour choisir que ça se lance au démarrage ça doit être dans le script de config du rpm/deb et ça doit pas être pratique à changer...

            En fait le mieux ca serait (pour ceux qui ont la sécurité au moins moyenne) de signaler au premier desmarrage la liste des trucs lancés en expliquant comment changer ca.

            Sinon c'est vrai que chkconfig est bien pratique...

          • [^] # Re: Distributions et package inutiles

            Posté par  . Évalué à -1.

            apt-get install exim -> activé
            apt-get remove exim -> désactivé

            • [^] # Re: Distributions et package inutiles

              Posté par  . Évalué à 8.

              Le gros intérêt de chkconfig est te permettre de faire autre chose que des "add" ou des "del" : tu peux gérer les runlevels finement et simplement sans avoir à te fader les symlinks à la mano, contrairement à la manip que tu décris qui ne fait qu'installer ou désinstaller le package. Si tu veux le lancer à la main ton exim, t'as l'air malin avec ton apt-get remove. Encore heureux qu'il te laisse les fichiers de conf.

              • [^] # Re: Distributions et package inutiles

                Posté par  . Évalué à 0.

                Ce n'est forcément idiot étant donné que réinstaller un paquet qui est déjà configuré ne coûte rien...(c'est la partie configuration qui est coûteuse en temps. Rappel : pour info, la purge des fichiers de configuration se fait avec dpkg --purge)

                Par contre, la bonne méthode pour lancer/stopper/relancer un daemon quelconque (sous Debian mais aussi sous système V compatible) est


                /etc/init.d/daemon start/stop/restart


                et là pas de soucis (jusqu'au prochain reboot).

                D'autre part, les liens ne sont quand même pas une affaire monstrueuse à régler à la main. Une fois que l'on a compris comment cela fonctionnait, c'est très facile à facile. Il reste toujours update-rc.d pour les autres.

                PK

          • [^] # Re: Distributions et package inutiles

            Posté par  . Évalué à 0.

            <reponse param="naif>
            ksysv sur toutes les bonnes distribs disposant de kde
            </reponse>

          • [^] # Re: Distributions et package inutiles

            Posté par  . Évalué à 4.

            > (d'ailleurs s'il existe un truc du même style sous Deb, je suis intéressé).

            Sûr: update-rc.d

          • [^] # l'outil kitu !

            Posté par  . Évalué à -1.

            Le truc qui marche avec toutes les distribs (en tout cas celles qui utilisent un init system V)

            rm -f /etc/rc.d/rc?.d <service_inutile>

            pour le désactiver dans tous les runlevels,

            rm -f /etc/rc.d/rc[runlevel].d <service_inutile>

            pour le désactiver dans le [runlevel] de ton choix. Et pis pour changer d'avis, lire le man d'init !
            (une piste pour ceux qui ne connaissent vraiment pas : un service se démarre dans le runlevel n si il existe un lien nommé SXX<nom_du_service> dans /etc/rc.d/rcn.d vers le script correspondant dans /etc/rc.d/init.d ; où XX détermine l'ordre dans lequel démarre les services. Et pour l'arrêter dans un runlevel donné, ce fichu service, c'est pareil mais avec KXX)

            --
            nodens, éternel inauthentifié (oh le beau néologisme !)

          • [^] # Re: Distributions et package inutiles

            Posté par  . Évalué à 4.

            >Au moins avec la MDK (et la RH) t'as l'utilitaire chkconfig pour changer les services lancés selon les runlevels (d'ailleurs s'il existe un truc du même style sous Deb, je suis intéressé).
            update-rc.d est ton ami

      • [^] # Re: Distributions et package inutiles

        Posté par  (site web personnel) . Évalué à -2.

        Il faut croire que c'est mieux maintenant sur MDK 8.1. Je n'utilise que des redhat ou mandrake, donc je dis que précédemment, les services etaient actives, et que l'install en mode expert (qui je suppose permettait d'eviter cela) plantait.
        Je conseillerai n'importe quelle distribution qui permettra une install souple et fiable, qui REPONDE aux attentes des debutants comme des experts. En attendant, je ne conseille rien, si ce n'est de ne pas rester sous M$.

        • [^] # Re: Distributions et package inutiles

          Posté par  . Évalué à 5.

          sur la 8.0 le warning etait deja present
          evidement si tu parles de la mandrake 5.3
          il fait te mettre a jour a moins que
          simplement tu te bases sur des "ont-dit" ?

  • # Vous semblez oublier...

    Posté par  . Évalué à 2.

    ...qu'il n'y a pas que des admins qui lisent ca. Moi je ne gere que mon Nunux chez moi, mais depuis
    que j'ai l'ADSL et que ca tourne en continu, je me preoccupes plus de la securite de mon petit
    systeme. Donc ce genre de document est assez interessant, bien que je connaisse deja une partie de ce qui y etait ecrit.
    Concernant les firewalls, ne commencer pas a dire que c'est illusoire sous pretexte qu'il peut
    y avoir des failles. C'est toujours mieux que rien.

    Alex

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.