Merci, c'est l'un des liens qui m'a tapé dans l'oeil aujourd'hui.
De fait, on peut généraliser aux actes d'administration en sphère
intranet. Les réseaux d'entreprise typiques sont en VPN MPLS ou analogue
(contredisez moi, ça me ferait plaisir de me tromper), donc sans
chiffrement. Avec ce qu'on a appris ces derniers mois, difficile de
croire qu'il y a 0 écoute sur ces réseaux opérés. Donc l'admin en
environnement interne entreprise, ça se fait depuis un poste dédié, sur
un VLAN dédié, sans accès internet (sinon, bonjour les compromissions du
poste). Et bien sur en SSH ou autre protocole chiffrant.
Cordialement,
Stéphane
On 21/03/2014 12:26, Jérôme Nicolle wrote:
Plop,
c'est pas frais, on le savait depuis longtemps, mais ce coup-ci c'est
en
version illustrée pour les admin tendance teletubbies :
https://firstlook.org/theintercept/document/2014/03/20/hunt-sys-admins/
Donc, en clair :
- Pas de telnet. Jamais. Toute session qui passerait sur un lien écouté
SERA capturée et utilisée contre vous.
- Vos sessions SSH seront monitorées aussi, au moins pour savoir qui se
connecte à quel routeur. Ne vous connectez que depuis l'intérieur du
réseau par un tunnel.
- Ca suggère donc du management inband, mais si vous pouvez faire
attention au chemin pris par l'out-of-band, ça vaut mieux.
- Camarade admin, si tu es sur les rézosocios, ils prendront ton chien
en otage pour avoir les clefs de ton réseau.
(et hop, une raison de plus de bannir facebook dans mes équipes tech)
@+
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
