Garaud Jean-Claude a écrit :
On Wednesday 11 January 2006 10:57, xavier benigni wrote:
AMHA le vrai danger sous Linux ce sont plutôt les rootkits. Et ça ce
n'est par vraiment évident de s'en protéger (pas plus ni moins que sous
W$ d'ailleurs).
un rootkit ne s'install que si un faille de secu permet de passer root,
soit de l'exterieur, soitr de l'interieur.
en utilisation domestique (ou si tu es sur des gens qui utilisent les
machines) :
deja une bonne utilisation de netfilter (IPtables).
ensuite les mises a jours reguliere de secu
ensuite chkrootkit
et enfin tripwire (sinature de fichiers)
en infrastructure ajouter :
surveillance du reseau (etherall, etherap)
plutôt ethereal et etherape non ?
surveillance des machines (nmap)
Nous sommes bien d'accord, mais :
- les failles de sécurité ne sont pas rares : pour s'en protéger est-il
prudent de mettre "urpmi.update -a" dans un cron ?
Non car une mise à jour ca se regarde avant de la mettre. car celle ci,
sur une machine de production peut avoir des effets de bord. Linux n'est
pas à l'abri de ce qui s'est passé avec le SP2 de XP. Nombre
d'application du SP sans dicernement ont eu des effets desastreux sur
nombre d'applications vitales dans certaines entreprises.
- un bon paramétrage d'IPtables est complexe
Il existe des outils pour ca, dont notament Firewall Builder, un très
bonoutils (http://www.fwbuilder.org)
- chkrootkit est très facile à utiliser, mais ce qui serait bien c'est que sa
mise à jour et les vérifications se fassent automatiquement et régulièrement
avec émission d'un message à root en cas de problème : un simple petit script
devait permettre d'automatiser ça. Il existe peut-être même déjà ?
Oui le package réalise cette opération de base.
- il faudrait surveiller régulièrement tripwire, ethereal, etherape, nmap :
qui, à part un administrateur réseau payé pour ça (et encore !), a le temps
de le faire ? Pas moi en tout cas :(
Ethereal ne peut s'utiliser que de facon ponctuelle, pas en permanence.
Etherape c'est sympa mais pas suffisant. En fait mieux vaut utiliser ce
qu'on appelle une sonde. Ca fait le boulot d'un Ethereal et d'un
etherape réusni. On peut le faire avec un snort par exemple (avec une
application web Base comme frontend). Cependant, le debit traité par
snort en temps est assez limité (largement inférieur à 100Mo/s)
tripwire est une bonne solution. Pour collecter les connexion IP, IPLog
est un bon outils, et il palie au déficiences de certaines applications
qui ne logues qu'insuffisement les connexions aux système.
Un element non cité mais très important, c'est la centrralisation des
logs. En effet, un attaquant installant un rootkit sue une machine va
laisser des traces. Sa première opération en dehors du rootkit lui-même
sera d'effacer ses traces des logs. C'est pour ca qu'il est necessaire
de mettre en place un système de centralisation des logs. Le plus simple
c'est d'utiliser la fonction remote de syslog, qui permet d'envoyer les
logs en UDP sur le port 514 d'une autre machine.
Personnellement, j'utilise syslog-ng qui permet d'envoyer sur un flux
TCP plutot que UDP. De plus, on peut utiliser un tunnel crypté pour
acheminer les logs vers un serveur distant, qui se charge de le mettre
dans une base de donnée (en l'occurence j'ai utilisé PostgreSQL).
Après il ne reste plus qu'a avoir une application qui traite ces logs
afin d'en avoir une vue pertinente.
De plus, syslog-ng permet de filtrer ce qu'on veux envoyer aussi bien au
niveau du priority, du facility, de l'application, du contenu du message
et de l'emetteur du message.
Si tu sais comment obtenir automatiquement, en cas de problème, une alerte
_claire et concise_ en provenance de ces outils, ça m'intéresse. Je me
demande si on peut configurer msec pour faire ça ?
msec fait parti des outils.
Le problème de tous ces outils justement c'est leur regroupement, leur
aggregation et enfin, et surtout, leur correlation.
Actuellement, il existe des plate-forme libre sur le sujet, avec Log3C
et SFS.
Il y a un très bon dossier sur la supervision de la sécurité dans le
MISC n° 22 de novembre et decembre 2005.
Laurent
____________________________________________________
Want to buy your Pack or Services from Mandriva?
Go to http://store.mandriva.com
Join the Club : http://www.mandrivaclub.com
____________________________________________________
