Je me suis amusé à lancer Knoppix 3.2 sur une machine à mon bureau et à la laisser bien en évidence ...
Résultat : des collègues qui viennent voir de quoi il s'agit, posent des questions et repartent en général assez ébahi de ce qu'ils ont vu et demandent pour avoir eux aussi leur copie sur CD ;o)
L'utilisation d'un petit disque USB est assez géniale ... j'espère que les prix des modèles à 1Go descendra rapidement pour tout avoir sur ce support ;)
Les sociétés mettent de plus en plus souvent des produits non finis sur le marché mais c'est quand même plus rare qu'une firme reconnaisse le travail effectué par une équipe externe et surtout l'implémente dans une nouvelle version.
Un bel exemple je trouve de travail complémentaire et constructif.
On a déjà mené plusieurs tests pour utiliser Linux sur les stations de travail à la place de Windows.
Le principal problème rencontré est l'impossibilité de pouvoir se connecter sur un exchange 5.5 pour lire les mails. C'est possible à partir d'un exchange 2000 mais hélas pas pour la version précédente.
Si jamais quelqu'un a une solution, qu'il n'hésite pas à me contacter.
Quand tu t'occupes de sécurité, tu peux toujours installer Snort (ou n'importe quel IDS) sur une machine (avec un serveur web, ftp, ...) que tu relies sur Internet (ADSL par exemple) et tu peux ainsi tester dans un environnement peu sensible le genre de traffic que tu vas recevoir sur un serveur de production.
Ce genre de machine ne veut pas dire de le mettre sur ton ordinateur personnel ;o)
Ca te permet de gagner du temps quand tu utiliseras un IDS en entreprise car les méchanismes de l'IDS et les attaques les plus fréquentes ne changeront pas vraiment.
Quel travail ;o)
Plus sérieusement Snort est un outil très efficace qui prend chez nous de plus en plus d'importance par rapport à d'autres IDS commerciaux.
Un article en deux parties était paru sur securityfocus il y a quelques temps pour le déploiement de Snort ... voilà les liens :
Complete Snort-based IDS Architecture
http://www.securityfocus.com/infocus/1640
http://www.securityfocus.com/infocus/1643
D'autres articles un peu plus anciens :
Running Snort
http://www.securityfocus.com/infocus/1315
http://www.securityfocus.com/infocus/1316
Snort Installation and Basic Usage
http://www.securityfocus.com/infocus/1421
http://www.securityfocus.com/infocus/1422
IBM a choisi très tôt d'investir dans Linux. Un investissement où ils espéraient évidemment un retour au moins aussi important que la mise de départ (1 milliard de dollars je pense; désolé je n'ai plus les liens).
Un article récent montrait que le retour annuel pour eux était de l'ordre de 2 milliards de dollards par an.
Sun n'a pas voulu suivre la même voie et s'en mord maintenant les doigts. Les parts de marché de Solaris diminue et maintenant leurs nouvelles machines (LX-50) par exemple disposent en standard d'un Linux mais le retard pris par rapport aux concurrents est important.
Une infos qui traîne dans nos couloirs ... le remplacement de 300 serveurs SUN par des serveurs LINUX concernant le hosting.
De plus en plus de projets migrent ainsi vers des solutions tournant sous Linux; principalement il est vrai par rapport à Sun, les parts de machines sous un OS de Microsoft restant plus ou moins stables (clientèle oblige je dirais).
L'argument est certainement d'ordre économique mais aussi en terme de fiabilité.
Concernant C2Net dont nous utilisons Stronghold; le passage à la version 4 a rendu l'utilisation d'une license et d'une clé inutile car il est maintenant libre. Il coutait environ 1000$ par serveur.
RedHat propose un contrat de support au prix équivalent c'est vrai. Avec une petite parenthèse pour souligner un incroyable bonhomme qui travaille là bas, Min Min Tsan.
Ce changement de version n'est pas neuf (un an à peu près).
Une des idées de départ du projet était d'avoir une installation la plus simplifiée possible pour des machines dont le rôles était de faire de l'IDS.
Dans les menus d'installations, au lieu d'avoir serveur, station de travail etc .. tu peux aussi choisir : IDS manager ou
senseur par exemple.
Les DBs pour le reporting, monitoring, auditing sont alors déja installées, initialisées et tu peux te retrouver avec un front web qui gère l'ensemble sans devoir passer par des heures de configuration.
C'est pas faux de dire que ce projet vise principalement des réseaux importants à la base ... chez nous il faut compter plusieurs dizaines de DMZ et plus de 10 firewalls (pour la seule partie dont je m'occupe).
Généralement, enfin l'habitude veut qu'on prenne des mesures de sécurité de manière réactive ... après des événements particuliers qui remettent la sécurité en cause.
Pour répondre à l'attendre, les mesures prises le sont généralement sans une longue réflexion ... j'emploierais plutôt le terme de parade à ce moment là.
Dans la sécurité, au sens large, la bonne approche est celle qui est pro-active. Prévenir vaut mieux que guérir selon le proverbe (et la sagesse populaire ;o)
Le gros problème c'est que pour les décideurs (appuyés en çela par les financiers) voient d'un mauvais oeil la sécurité ... département qui coûte et ne rapporte pas (du moins en espèces sonnantes et trébuchantes) et dont les décisions arrivent toujours à fâcher des gens ...
Fameux souvenir ça ... la vidéo compressée à des taux jamais vu ;)
Pour les audiences de sites web c'est pas plutôt statisticator comme site ? Je crois qu'il a fermé ... tout comme vakooler qui était un excellent site.
Tout est dit dans le titre ... Transfert est un site qui me plaisait beaucoup, sur une page je pouvais faire un tour d'horizon des articles sur différents sujets qui m'intéressaient.
La "grille" actuelle est peut-être un peu moins lisible mais c'est certainement une question d'habitude.
Plus de 5 ménages sur 10 en Belgique possèdent un ordinateur ... quelques secondes plus loin on parlait de P.C. et de là on l'associe rapidement aux solutions Microsoft ... c'est clair que c'est un raccourci journalistique mais qui est obsorbé par l'auditeur sans aucun problème hélas.
Effectivement cette histoire date de plusieurs mois mais je n'en avais encore jamais entendu parlé ... comme quoi on peut lire tous les jours ou presque sur le net et passer à côté de choses intéressantes.
Peut-être qu'avec tous ces témoignages de sociétés passées sous Linux, il serait bon de faire un petit portail quelque part dans le genre de ce qu'Apple a fait pour son OS X ? ;o)
Enfin ça doit exister certainement mais j'ai pas trouvé ... je passe à côté de tout ? ;o)
C'est de bonne guerre quand il y a une décision commerciale à prendre je crois. On fait tous la même chose ... on compare et on discute avec le vendeur afin d'avoir la meilleure remise possible (voiture, prêts, ...)
La décision a été post-posée au 28 mai maintenant il me semble; on verra ce qu'il se passera.
Il s'est passé la même chose plus ou moins chez nous ... une grosse entreprise (parc utilisateur >10.000 PC); des études en internes ont montré qu'il était plus intéressant de migrer sous une solution Linux/OpenOffice ... le top management a reçu la visite de Bill Gates avec une proposition à la clé ... et nous travaillons toujours avec des PC sous Windows :/
Je me souviens d'un mail il y a peu de temps qui authorise les commerciaux de Microsoft d'appliquer eux-même des remises s'ils sentent que le marché va leur échapper.
Dernière chose tant que j'y suis ... la parution dans des journaux "toutes boîtes" d'annonces de Microsoft encourageant les PME à se mettre en ordre de licences vis à vis de leurs produits. Jusque là ... ok mais ensuite un représentant appelle les PME et s'invite pour constater de lui même que la société est en règle ....
Réflexion rapide qui me vient à l'esprit ...
Microsoft est venu dans le monde des consoles pour prendre des parts de marché à Sony (et Nintendo dans une moindre mesure je crois).
Sony renvoie l'ascenceur en se tournant vers une machine orientée desktop (grosse approximation) et peut se permettre de voir ce que ça va donner.
Microsoft comme Sony ont la "congergeance" des techniques en tête (Nokia aussi à mon avis ;o) ... des moyens différents d'y parvenir mais l'idée de base est la même.
Olivier
L'uptime n'est pas un argument de sécurité mais de fiabilité et de disponibilité.
On trouve régulièrement des failles et il y a des mises à jour à faire mais il faut toujours analyser un peu ce qui a été trouvé comme faille et voir l'impact sur l'environnement déployé.
A ce niveau là, la règle de l'installation la plus minimale possible procure un avantage important puisqu'il ne faut pas suivre "l'actualité" de centaines de packages.
Un exemple peut-être stupide mais qui explique un peu le sens de ma démarche ... sur une machine de production où se trouvent un minimum d'applications, en cas de problème ou de débugging à faire ... une connexion ssh, installation de telnet et tcpdump (en général celà suffit pour avoir une idée de ce qu'il se passe) et on enlève les deux packages une fois que c'est terminé.
Personnellement je trouve ça simple et efficace.
Olivier
C'est souvent la même chose avec les contrôles ... on veut bien faire mais c'est souvent plus pénalisant pour l'utilisateur qui accepte les règles que pour celui qui les contourne.
Exemple stupide mais exemple quand même ... un utilisateur qui respecte le code de la route, les panneaux, ne se gare pas n'importe ou ni n'importe comment, ne commet pas d'excès de vitesse ... aura droit à des coups de klaxon, des gestes d'énervement, d'autres garés devant son garage alors qu'il doit en sortir (oui je parle d'expérience ;) ... brefs des gens qui ne respectent pas ce même code et qui "profitent" des autres.
Je ne fais pas du tout l'apologie du piratage ici, je voulais simplement dénoncer le fait que les gens acceptent trop souvent les choses telles qu'elles sont sans vouloir les changer ...
Campagne de sécurité routière ... plus de P.V., retrait de permis, etc ... pourquoi ne pas avoir des voitures limitées à 120km/h (130 en France oki ;) ? La question mérite d'être posée ;)
Olivier .. sorti du sujet à cause des fous du volant de ce matin ;)
Le livre s'appelle "Securing & Optimizing Linux: The Hacking Solution (v.3.0)", est écrit par Gerhard Mourani et explique à mon sens comment réellement arriver à utiliser un serveur sécurisé dans un environnement de production.
Nous avons plusieurs de ces serveurs en production avec un uptime de plusieurs centaines de jours, sans aucun problème, sans interruption de service ou hack des machines.
Pas de troll sur la version de Linux installée ... le choix était fait avant que je commence à y travailler ;o)
C'est l'éternelle discussion entre les partisans de la diffusion des vulnérabilités trouvées (directement ou bien après un laps de temps) ou bien ce qu'on peut appeler 'la sécurité par l'obscurité'.
Dans les deux camps on trouve des arguments valables et selon moi la solution "idéale" se trouve quelque part entre les deux points de vue.
De toute manière, il est important de se tenir informé de ce qu'il se passe ... sur les sites hébergeant des listes de discussions ainsi qu'en étant abonné aux mailing-listes des principaux fournisseurs informatiques et logiciels.
Ensuite, libre à chacun d'examiner ce qu'il faut faire (analyse de la faille, impact sur l'architecture informatique de l'entreprise, implémentation éventuelle, ...)
[^] # Re: Mirabellug vous présente la Knoppix
Posté par Olivier . En réponse à la dépêche Mirabellug vous présente la Knoppix. Évalué à 1.
Je ne me suis pas renseigné sur le sujet :(
Pour ce qui est de la vitesse, je trouve les lecteurs CD plus rapides, surtout pour des petits fichiers.
# Re: Mirabellug vous présente la Knoppix
Posté par Olivier . En réponse à la dépêche Mirabellug vous présente la Knoppix. Évalué à 4.
[^] # Re: Une belle histoire 8)
Posté par Olivier . En réponse à la dépêche Nouveau BIOS Rockbox (archos Jukebox). Évalué à 10.
Un bel exemple je trouve de travail complémentaire et constructif.
[^] # Re: L'OpenSource pour les postes de travail ?
Posté par Olivier . En réponse à la dépêche L'OpenSource pour les postes de travail ?. Évalué à 4.
Le principal problème rencontré est l'impossibilité de pouvoir se connecter sur un exchange 5.5 pour lire les mails. C'est possible à partir d'un exchange 2000 mais hélas pas pour la version précédente.
Si jamais quelqu'un a une solution, qu'il n'hésite pas à me contacter.
[^] # Re: IDS sur un poste perso
Posté par Olivier . En réponse à la dépêche Sortie de Snort 2.0. Évalué à 8.
# Several million bugs addressed....
Posté par Olivier . En réponse à la dépêche Sortie de Snort 2.0. Évalué à 10.
# IBM & Sun
Posté par Olivier . En réponse à la dépêche L'évolution de Linux dans l'industrie par The Economist. Évalué à 10.
Un article récent montrait que le retour annuel pour eux était de l'ordre de 2 milliards de dollards par an.
Sun n'a pas voulu suivre la même voie et s'en mord maintenant les doigts. Les parts de marché de Solaris diminue et maintenant leurs nouvelles machines (LX-50) par exemple disposent en standard d'un Linux mais le retard pris par rapport aux concurrents est important.
# Perception dans l'entreprise ...
Posté par Olivier . En réponse à la dépêche Linux en une du Jitec. Évalué à 3.
De plus en plus de projets migrent ainsi vers des solutions tournant sous Linux; principalement il est vrai par rapport à Sun, les parts de machines sous un OS de Microsoft restant plus ou moins stables (clientèle oblige je dirais).
L'argument est certainement d'ordre économique mais aussi en terme de fiabilité.
[^] # C2Net
Posté par Olivier . En réponse à la dépêche RedHat annonce son "Content Management System and Portal Server". Évalué à 2.
RedHat propose un contrat de support au prix équivalent c'est vrai. Avec une petite parenthèse pour souligner un incroyable bonhomme qui travaille là bas, Min Min Tsan.
Ce changement de version n'est pas neuf (un an à peu près).
[^] # Simplicité
Posté par Olivier . En réponse à la dépêche IDS en Open Source. Évalué à 5.
Dans les menus d'installations, au lieu d'avoir serveur, station de travail etc .. tu peux aussi choisir : IDS manager ou
senseur par exemple.
Les DBs pour le reporting, monitoring, auditing sont alors déja installées, initialisées et tu peux te retrouver avec un front web qui gère l'ensemble sans devoir passer par des heures de configuration.
C'est pas faux de dire que ce projet vise principalement des réseaux importants à la base ... chez nous il faut compter plusieurs dizaines de DMZ et plus de 10 firewalls (pour la seule partie dont je m'occupe).
Olivier
# Re: Récompense des pires mesures de sécurité
Posté par Olivier . En réponse à la dépêche Récompense des pires mesures de sécurité. Évalué à 7.
Pour répondre à l'attendre, les mesures prises le sont généralement sans une longue réflexion ... j'emploierais plutôt le terme de parade à ce moment là.
Dans la sécurité, au sens large, la bonne approche est celle qui est pro-active. Prévenir vaut mieux que guérir selon le proverbe (et la sagesse populaire ;o)
Le gros problème c'est que pour les décideurs (appuyés en çela par les financiers) voient d'un mauvais oeil la sécurité ... département qui coûte et ne rapporte pas (du moins en espèces sonnantes et trébuchantes) et dont les décisions arrivent toujours à fâcher des gens ...
[^] # I2BP
Posté par Olivier . En réponse à la dépêche Transfert en cours. Évalué à 2.
Pour les audiences de sites web c'est pas plutôt statisticator comme site ? Je crois qu'il a fermé ... tout comme vakooler qui était un excellent site.
[^] # Sobre et efficace ;)
Posté par Olivier . En réponse à la dépêche Transfert en cours. Évalué à 10.
La "grille" actuelle est peut-être un peu moins lisible mais c'est certainement une question d'habitude.
En tout cas bonne chance à eux,
Olivier
[^] # Réactions
Posté par Olivier . En réponse à la dépêche Munich passera-t-elle au Libre ?. Évalué à 1.
Olivier
[^] # L'amalgame ...
Posté par Olivier . En réponse à la dépêche Bande dessinée informatique en ligne « Roberto et Pepita ». Évalué à 4.
Plus de 5 ménages sur 10 en Belgique possèdent un ordinateur ... quelques secondes plus loin on parlait de P.C. et de là on l'associe rapidement aux solutions Microsoft ... c'est clair que c'est un raccourci journalistique mais qui est obsorbé par l'auditeur sans aucun problème hélas.
[^] # Taper sur le clou ;)
Posté par Olivier . En réponse à la dépêche La BSA aide GNU/Linux. Évalué à 7.
Peut-être qu'avec tous ces témoignages de sociétés passées sous Linux, il serait bon de faire un petit portail quelque part dans le genre de ce qu'Apple a fait pour son OS X ? ;o)
Enfin ça doit exister certainement mais j'ai pas trouvé ... je passe à côté de tout ? ;o)
[^] # Traduction ou résumé ?
Posté par Olivier . En réponse à la dépêche Munich passera-t-elle au Libre ?. Évalué à 3.
Si un résumé est disponible ou l'article repris sur un autre ZDNet merci de mettre le lien.
[^] # L'arroseur arrosé ?
Posté par Olivier . En réponse à la dépêche Munich passera-t-elle au Libre ?. Évalué à 4.
La décision a été post-posée au 28 mai maintenant il me semble; on verra ce qu'il se passera.
[^] # tactique habituelle ?
Posté par Olivier . En réponse à la dépêche Munich passera-t-elle au Libre ?. Évalué à 10.
Je me souviens d'un mail il y a peu de temps qui authorise les commerciaux de Microsoft d'appliquer eux-même des remises s'ils sentent que le marché va leur échapper.
Dernière chose tant que j'y suis ... la parution dans des journaux "toutes boîtes" d'annonces de Microsoft encourageant les PME à se mettre en ordre de licences vis à vis de leurs produits. Jusque là ... ok mais ensuite un représentant appelle les PME et s'invite pour constater de lui même que la société est en règle ....
voilà c'est tout ;o)
[^] # Re: Playstation 3 sous Linux ?
Posté par Olivier . En réponse à la dépêche Playstation 3 sous Linux ?. Évalué à 5.
[^] # Re: Un autre lien intéressant:
Posté par Olivier . En réponse à la dépêche Comment conduire votre propre audit de sécurité ?. Évalué à 7.
[^] # Problème récurent ...
Posté par Olivier . En réponse à la dépêche Lutter contre la copie informatique favoriserait la croissance. Évalué à 0.
Exemple stupide mais exemple quand même ... un utilisateur qui respecte le code de la route, les panneaux, ne se gare pas n'importe ou ni n'importe comment, ne commet pas d'excès de vitesse ... aura droit à des coups de klaxon, des gestes d'énervement, d'autres garés devant son garage alors qu'il doit en sortir (oui je parle d'expérience ;) ... brefs des gens qui ne respectent pas ce même code et qui "profitent" des autres.
Je ne fais pas du tout l'apologie du piratage ici, je voulais simplement dénoncer le fait que les gens acceptent trop souvent les choses telles qu'elles sont sans vouloir les changer ...
Campagne de sécurité routière ... plus de P.V., retrait de permis, etc ... pourquoi ne pas avoir des voitures limitées à 120km/h (130 en France oki ;) ? La question mérite d'être posée ;)
Olivier .. sorti du sujet à cause des fous du volant de ce matin ;)
# Un autre lien intéressant:
Posté par Olivier . En réponse à la dépêche Comment conduire votre propre audit de sécurité ?. Évalué à 7.
http://www.openna.com/products/books/books.php?e=0,1,13(...)
Le livre s'appelle "Securing & Optimizing Linux: The Hacking Solution (v.3.0)", est écrit par Gerhard Mourani et explique à mon sens comment réellement arriver à utiliser un serveur sécurisé dans un environnement de production.
Nous avons plusieurs de ces serveurs en production avec un uptime de plusieurs centaines de jours, sans aucun problème, sans interruption de service ou hack des machines.
Pas de troll sur la version de Linux installée ... le choix était fait avant que je commence à y travailler ;o)
Olivier
[^] # Re: Le lien vers le site du projet en question
Posté par Olivier . En réponse à la dépêche Après l'iBook, l'iMac voilà l'iBox ?. Évalué à 3.
# Re: Encore des fuites de vulnérabilités ?
Posté par Olivier . En réponse à la dépêche Encore des fuites de vulnérabilités ?. Évalué à 10.
Dans les deux camps on trouve des arguments valables et selon moi la solution "idéale" se trouve quelque part entre les deux points de vue.
De toute manière, il est important de se tenir informé de ce qu'il se passe ... sur les sites hébergeant des listes de discussions ainsi qu'en étant abonné aux mailing-listes des principaux fournisseurs informatiques et logiciels.
Ensuite, libre à chacun d'examiner ce qu'il faut faire (analyse de la faille, impact sur l'architecture informatique de l'entreprise, implémentation éventuelle, ...)