Le 24/06/2010 08:49, Xavier Beaudouin a écrit :
Hello,
[...]
Coté utilisateur on pourrait citer l'utilisation de SFTP à la place du FTP, couplé à
l'utilisation impérative d'une clé SSH avec passphrase. Ca ne fait certainement pas tout,
mais déjà ça évite les problèmes de sniffing et coté "malware" il faut un soft
qui face keylogger + récupération de la clé RSA sur le disque.
Je suis probablement naïf, mais je me dis que ça limite déjà un peu les
problèmes.
Le problème du SFTP c'est qu'il n'existe pas grande solution "industrielles" se couplant
avec un annuaire ldap ou autres (a part pam etc...). On arrive vite a un "machin" qui est
composés de scripts qui devient une usine a gaz...
Citez moi un serveur SFTP qui est capable de :
- faire des soft quota
- trouver ses uid/gid/login/pass/clef publique depuis une db ou un annuaire ldap
- qui soit évidement opensource et portable ailleurs que sur du linux...
Pour ma part j'ai pas trouvé (bon ok, j'ai pas cherché depuis 2 ans... mais
bon).
D'autre part le jour ou le trojan/grec/kebab récupéra ET la passphrase ET la clef
privé... -> Fail.
Comme je disais, il s'agit de limiter les possibilités, ça n'est pas
sécurisé à 100% (là comme ça on ne pourrait pas), mais l'idée c'est de
ne pas rester sur le modèle "open bar" du FTP.
Maintenant sans verser dans le troll, ne pas utiliser de produit Adobe
peut-être une solution relativement efficace également :)
En passant, le poste Windows en question, il n'a pas de firewall ? Et le réseau
local non plus ? Parce que le keylogger, il les envoi bien quelque part les
infos récupérées, non ?
Heu ... Sérieusement tu crois qu'un firewall règle le pb ?
Règle non, mais limite oui. Si un poste du réseau local upload vers
l'extérieur autre chose que du HTTP/MSN/MAIL et autre protocole qu'on
autorise (en supposant qu'on ne force pas non plus le passage par une
passerelle), et que le poste en question on autorise par exemple
uniquement Firefox à se connecter au proxy, le malware aura quand même
un peu de mal à diffuser ses infos, non ? Ou bien n'importe quel malware
peut contourner le firewall Windows ?
Ca reste théorique, mais ça ne me semble pas si complexe à limiter, même
si un blocage à 100% ne sera jamais possible.
Je pense que automatiser les gestions de logs type : tiens pourquoi j'ai plein
de connections depuis pays X ou Y alors que en général ils se connectent de
france ou suisse... doit être une remontée d'alerte...
/Xavier---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
