Vanhu a écrit 447 commentaires

Encore mieux: Emacs, et le mode Ediff......

Et pour les utilisateurs d'emacs, avec le module tramp, on peut faire pareil, en ssh, scp, etc......

Pf

Effectivement, ma formulation etait mauvaise, Pf est disponible sur FreeBSD 5, mais n'est pas son "système de filtrage standard".

Par contre, pour IPFW, quand la volonté sera passée par la, on en reparlera :-)


BSD Vs GPL

Non, ca n'est pas philosophique, mais tout simplement pragmatique: si je développe quelquechose que je veux diffuser, j'aura plus facilement tendance a le faire sous une licence type GPL. Si je veux démarrer un projet qui ne sera pas forcément diffusé sous GPL (propriétaire, autre licence, etc...), bah je préfèrerai démarrer sur du code BSD, forcément....

La sécurité

Bon, allez, trollons :-)

Il y a chez tout le monde des "projets sécurité" (meme Microsoft en a un, maintenant, c'est pour dire ! :-), qui ont généralement des approches différentes, parfois complémentaires, et je n'ai encore trouvé personne qui a la réponse ultime.

Meme l'equipe d'OpenBSD qui se targue d'auditer leur code souvent laisse parfois passer de grosses boulettes, et est parfois critiquée sur certains points (par Alan Cox, entre autres, si je me souviens bien).

Et dans tous les cas, le fait de dire "notre distrib est super sécure", ca incite les gens a dormir dessus, et rien que ca, j'aime pas.

(faut que je revienne à Lille moi ;-)

Pour encore raler qu'il fait froid par chez nous ???? :-)

Mais fallait venir cet été !!!!!!!

A +

VANHU.

Bof..... Pour avoir pas mal utilisé différentes distribs Linux et différents *BSDs, je dirais qu'il y a des "différences", qui sont parfois des avantages et parfois des inconvénients, et qui font que, pour une machine donnée, on va s'orienter vers l'un plutot que vers l'autre.

Allez, c'est parti pour un début de liste:

- Le système de ports de FreeBSD qui est bon (moins bon que le systeme Debian a mon gout, mais plus a jour).

- Pf (le système de filtrage d'OpenBSD et de FreeBSD a partir de la 5) qui est vraiment bon.

- La licence, BSD Vs GPL, selon l'usage, l'une peut etre plus avantageuse que l'autre.

- Le support de différents matériels, parfois meilleur sous Linux (cartes graphiques NVidia ? modems ADSL USB, etc...), parfois meilleur sous BSD (les cartes crypt sous OpenBSD ?).

- Les performances, la scalabilité, etc..... D'apres le dernier bench/troll en date, c'est FreeBSD et Linux 2.6 qui s'en sortiraient le mieux (mais qui ne sont pas encore recommandables pour des serveurs).

- La sécurité, mais la, ca va déraper au troll....

- La portablilité (NetBSD)

- Surement plein d'autres !!!!

Pour ce qui est des CE / représentants du personnel / etc.... , le temps disponible pour s'occuper de ces responsabilités est imposé par la loi, donc l'entreprise n'a pas le choix (10 ou 15 heures par mois, selon la taille de l'entreprise) !

Maintenant, si le représentant / CE en question ne le sait pas, et que l'entreprise bluffe en disant "je veux bien t'accorder 2 heures par mois", bah forcément....

En fait, les développeurs disent eux meme (et c'est très bien détaillé sur le site d'Adamantix) que la seule bonne méthode pour se protéger des buffers overflow et autres, c'est de programmer proprement et sans failles.

Maintenant, dans le grand état d'esprit "ceinture ET bretelles", ce genre de méchanisme rend nettement plus difficile l'exploitation d'éventuels failles existantes, ce qui est déjà intéressant en soi !

Philips (détenteur du copyright sur le label "CD") a déjà ralé à ce sujet l'année dernière, et avait fait interdire (ou essayé, en tout ca) a certains éditeurs l'utilisation du label "CD".

Tiens, effectivement, y'aurais pas moyen de présenter un UA qui "aie une gueule d'IE" (pour les sites pourraves qui font le test), mais qui soit quand meme "spécifique", donc qu'on puisse l'identifier sur les logs (donc les stats) ?

Parceque si ca se trouve, le "9 utilisateurs sur 10 utilisent IE" est carrément exagéré, en fait !!!

Ca évitera certains trolls xBSD/Linux/Windows. Chacun pourra critiquer le bench et y apporter ses idées et le test une fois lancé ne pourra plus trop être contesté.

Bof....

Vas lire un peu ce qui se dit sur fr.comp.os.bsd, par exemple, et tu verras que c'est la réaction habituelle: ceux qui sont "gagnants" dans le bench crient victoire, et ceux qui sont perdants dénigrent le bench, son auteur, et sa belle mere....

La boite en question a probablement des employés, des couts de fonctionnement, etc...

Et s'ils n'ont pas (peu ?) d'autres ressources que la vente de ce programme, bah l'issue du procès et la décision finale n'ont aucune importance: la boite aura déposé le bilan avant !!!

Sauf que Nevrax a décidé ca dès le départ, et n'étaient pas en train de couler aux dernières nouvelles :-)

Ce qui est "encore mieux" :-)

Les scooters c'est pour les vraie hommes qui n'hésitent pas a passer entre un poid lourd et une camionette cabossé de maçon, dans une courbe alors que le tous roulent à 120.

Tu as oublié "en pente forte et avec un gros vent arrière".....

Sinon, je vois pas trop comment ton skate board peut monter a 120 :-)

Mettre les motos dans la meme catégorie que les mobs, scooters et autres...

Si c'est pas malheureux....

C'est encore un piéton ou un automobiliste qui a du faire ce sondage !!! :-)

J'ai commencé sous Linux avec un P166, sous Debian et WindowMaker....

Et sur ce P166, y'a toujours Debian, WindowMaker, et ca tourne toujours....

C'est pas vraiment Linux meme qui demande de plus en plus de ressources, c'est les interfaces qui essaient plus ou moins de copier Windows.....

Normal, en fait !

En fait il y a 3 couches:

1) La loi. Dura lex sed lex.

2) La convention collective, qui peut préciser certaines choses (quand la loi est floue, etc...), etre plus généreuse, etc...

3) Le règlement intérieur (euh, je suis pas sur du nom "officiel"), qui précise la convention collective qui sert de base, et qui peut repréciser certaines choses, etre encore plus généreux, etc....

Et (je trouve que) ca sera encore plus simple a mettre en place avec Kame/Racoon :-)

Mais pour un admin "classique", rien que la mise en place d'une PKI, c'est une horreur, alors de la a comprendre la différence entre de l'ESP/Tunnel et de l'AH/transport.....

Ou même peut être à IPsec

Yep, IPSec propose meme la meilleure authentification que je connaisse, lors de la négociation (IKE / Isakmp, par cle prepartagee, ou, mieux, par PKI), puis authentification de chaque paquet (dans ce cas de figure, je suppose que le mieux serait de l'AH en mode transport, pour ceux qui connaissent).

Et ca authentifie n'importe quel paquet IP emis par la machine a destination de la gateway....

En pratique, personne ne met en place ce genre de chose, amha pour 2 raisons:

1) Un client IPSec fonctionnel sous Windows, ca coute cher (l'implementation fournie en standard est .... euh ... comment dire ..... ahem.... "pas top"...).

2) IPSec c'est bien, mais pour quelqu'un qui y connait rien, faut bien reconnaitre que c'est pas super trivial...

Une autre "rumeur" disait que, finalement, seuls les frontaux webs etaient passes sous Windows (avec IIS, donc), mais que le gros des serveurs (bases de donnees, SMTPs, etc...) étaient restés sous FreeBSD.

Mais bon, la encore, rumeur ou réalité, je sais pas.....

Par contre, vu que c'est basé sur des principes TCP ultra génériques, faut vraiment générer ses paquets n'importe comment pour créer des subtilités d'implémentations décelables.


En théorie oui, mais comme d'habitude, il suffira peut etre de faire un truc "pas courant" pour commencer à voir plein de différences selon les implémentations.....

Et le simple fait de faire (ou pas) du TARPIT sera déjà un indice, de toutes facons...

PS : c'est quoi ce flood de posts en 15 min ?


Bah c'etait en "reponse" a la premiere reponse de mon premier post: "ca a l'air intéressant mais j'y comprends rien, tu pourrais expliquer" :-)

Tout d'abord, il ne faut pas associer linux et netfilter

Euh.... si, un peu quand meme: Netfilter est quand meme le système de filtrage du noyau Linux, et (apres une tres sommaire recherche, je veux bien le reconnaitre) je n'ai pas vu de traces d'un portage de Netfilter sur d'autres architectures.....

TCP ou UDP, c'est pas selon l'humeur du développeur du ver: c'est en fonction du protocole utilisé par le service qui a une faille, et qu'on veut exploiter !!!

Et puis les connexions TCP, quand tu utilises les sockets, ca se gere *presque* tout seul, alors....

Y'avait qu'a demander :-)

Donc vous n'avez pas écouté ce vieux fou qui vous dit que ca va pas marcher, et vous vous dites que "c'est toujours ca de gagné pour ralentir les vers, et puis ca coute rien, hein"......

Bah si, ca coute: Je ne parlerai meme pas du coté "expérimental" du patch, ca, ca va s'améliorer, je suppose.

Mais voyons les implications, meme avec un patch "release-top-mega-fiable":

Actuellement, tout le monde recommande de se "planquer".

Pourquoi ? parceque la sécurité par l'obscurité (oui, c'est comme ca que ca s'appelle) a beau etre une mauvaise base, c'est un bon complément.

Ainsi, un attanquant potentiel, qui commencera probablement par faire un scan de ports sur votre machine (qui va essayer de voir quels sont les ports à l'écoute) sera probablement "bluffé" si vous n'avez aucun service, ou meme s'il n'a pas utilisé l'option -P0 de nmap (qui dit a nmap de ne pas se baser sur un bete ping pour savoir s'il y a quelqu'un).

Et meme avec toutes ces options, comme expliqué plus haut ("le firewall pas poli"), c'est toujours ca de gagné comme temps pour le scan....


La, vous allez répondre à toutes les demandes de connexion TCP.

Quel est le problème ?

D'abord, vous affirmez haut et fort au monde entier que vous etes la.
Ensuite, vous donnez plein de paquets pour aider le scanner a déterminer votre OS.

Oui, mais au moins, comme vous répondez à toutes les demandes de connexions, bah il va croire que tous vos ports sont ouverts, ca le brouille aussi, ca !!!

Bah non: les ports TARPITés auront un comportement bien spécifique, puisqu'ils vont négocier une session TCP non utilisable.
Et des outils comme nmap, bah ce genre de "singularités", leur faudra pas longtemps pour les détecter, et faire la différence entre un port OPEN et un port TARPIT.

Et vous voulez savoir la meilleure ?
Comme il y aura surement de subtiles différences d'implémentations, bah ca les aidera meme à identifier votre OS de facon plus fiable.....

Alors faites comme vous le sentez, moi je reste en DROP !

Bien, comme nous avons vu au dessus, nous avons "plein" de machines "TARPITeuses", qui font la chose suivante:

- j'autorise une session TCP vers un port "vulnérable", derriere lequel il n'y a en fait pas de serveur chez moi.

- Je négocie les paramètres de la session pour que celle ci soit inutilisable en pratique

- J'ignore les paquets FIN (demande polie de fin de session) pour faire durer ca le plus longtemps possible.


Soit un ver "JeanKevin"(C)(R), ecrit en VBScript, Delphi, ADA, Java, Perl, (voire en C, hein, ca change pas grand chose, ceci n'est pas un appel a troll), en utilisant la couche réseau "classique".

Bah effectivement, il va surement se faire couillonner.

Maintenant, soit un ver fait par un gars pas couillon (on est d'accord, ca reste définitivement hors de portée de Jean Kevin, sauf si le gars pas couillon fait une belle librairie toute propre qu'il diffuse), dans un langage et avec des fonctions qui permettent de manipuler "plus bas niveau" les paquets.

Bah il a plus qu'a detecter les "parametres louches", qui feront qu'une session sera peu/pas utilisable, et forcer une fin de connexion brutale par un RST (Reset: "on coupe tout cherche meme pas a me repondre a ca, je te previens par pure politesse, ca me perdra un jour").

Et hop, au lieu de perdre 10 secondes, on en a perdu 30 a tout casser....
Conclusion: efficacité très faible, meme avec "assez de machines TARPITeuses".