[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[linux] Re: SuSE sur un 486 - FW
didier.misson@wanadoo.be writes:
> Quoting Rémi Letot <r_letot@yahoo.com>:
> Didier> Une Debian pour un FW avec Kernel 2.4 et IPTables
> + serveur NTP et SSH pour les PC internes
> Qu'est-ce qu'on pourrait encore mettre dessus sans
> compromettre la sécurité ?
A mon avis, si tu veux la sécurité maximale, vire ntp. Tu peux
éventuellement le remplacer par ntpdate lancé régulièrement par
cron. L'avantage c'est que ntpdate est beaucoup plus simple, et
seulement un client, tandis que ntp est aussi un serveur, et
parait-il des plus complexes, donc potentiellement troué.
-----------
Didier> tu crois ? NTP n'est pas récent... Il y a souvent des trous mis à
jour???
Je pensais ne mettre qu'un seul serveur NTP local, et que les PC sur le
Lan, clients et serveurs, ne fassent pas de NTP request sur Internet, mais
uniquement au serveur NTP local...
Maintenant, oui, je pourrais mettre le ntp serveur sur le PC serveur, et
pas sur le petit PC FW?
Et ne permettre qu'à ce PC là de sortir avec le protocole NTP sur le net.
Est-ce que ce serait + fiable?
Maintenant, c'est vrai, pas besoin d'une précision à la msec !
Un ntp toutes les heures, ce serait bien suffisant...
A réfléchir.
Est-ce qu'on pourrait avoir un serveur NTP local (stratus 3 ou 4 par ex),
mais qui lui même ne se synchroniserait sur le net qu'une fois par heure
(et pas presque en continu...) ?
------------
Toujours au niveau sécu, je ne sais pas si iptables atteint
aujourd'hui le niveau de sécurité de ipchains (je parle pas au niveau
des possibilités, statefull etc, mais au niveau implémentation, tests
du code,...) Ipchains est effectivement beaucoup plus vieux, donc
mieux testé. Mais je ne suis pas compétent pour juger ça.
Des avis éclairés sur la question ?
-------------
Didier> tu as probablement raison.
Mais il reste des choses difficiles à faire avec IpChains... comme le
masquerading pour tt ce qui est H323 voix et vidéo. En sortie çà va, mais
en entrée... niet...
Est-ce que IPTable est plus souple pour ça ???
Mais je me disais que, IPTable et le kernel 2.4 ont qd même 13 mois
maintenant !
Ils commencent à être au point, et débuggué niveau sécurité...
Peut-être pas encore parfais à 100%, mais ça continue à évoluer.
Je préférerais commencer à chercher (et à apprendre) directement avec
IPTables...
-------------
A ajouter pour augmenter la sécurité : tripwire et/ou autre système de
monitoring des fichiers installés. Un monitoring automatique des logs
avec alarme par mail aussi (il y en a plusieurs). Peu de chance que ce
genre de tools permette à un attaquant de prendre le contrôle, et ça
ajoute à la sécurité.
--------------
Didier> je sais que ça existe, mais je ne connais pas encore.
--------------
Tu peux aussi ajouter des loggers des connections entrantes,... Mais
là ce sont des programmes qui écoutent sur le réseau, donc
potentiellement aussi des portes d'entrée en cas de bug. Donc c'est
moins évident que ceux qui ne font qu'analyser ton système.
Pas simple pour les lambda que nous sommes...
Didier> oui... mais faut bien débuter un jour !
Et on prend déjà BEAUCOUP plus de précaussion que le mec, tt content de
son ADSL, qui va laisser son Pc Winbrol 98 plein de trous, 24/24 connecté,
sans même avoir appliqué les rustines de sécurité M$ officielles...
(restent de ttes façons les trous pas avoués par M$ !)
> Sais pas encore, peut-être que le 43 MB suffirait ?
> quoi que, si le soft tient, si on veut conserver des
> LOG FW sur de longues périodes, ce serait probablement
> trop juste ?
Je dirais qu'il peut servir de stockage des logs pour une distribution
spécifiquement FW qui n'utilise pas le HD pour s'installer. Style
coyote (mais je sais pas s'il peut utiliser un HD pour stocker ses
logs), ou gibraltar (là je sais qu'il peut)
-----------
Didier> Coyote, faudrait drolement bricoler !
Car le kernel en standard n'a PAS le support ide...
Mais tt est possible.
Mais dans ce cas, plus besoin d'avoir Coyote sur une disquette... (peu
fiable la disquette)
-----------
> > A titre d'information, j'ai une patate en firewall
> chez un client sur
> > à peu près 250 MB. Mais il est possible d'encore en
> retirer
> > relativement facilement car j'ai tout ce qu'il faut
> pour compiler
> > dessus.
> Didier> on peut tj compiler sur une autre machine...
> Ce n'est pas trop logique de laisser autant de package
> sur un FW.
Ben j'y ai de la place, et il y a peu de chance pour que ça donne une
porte d'entrée. Maintenant, c'est vrai que ça peut permettre à
quelqu'un qui est dans la place de s'y fortifier (pour parler
militaire :-)
-------------
Didier> en y réfléchissant... peu de chance que ça aide vraiment!
Et si vraiment tu es hacké, c'est pas un compilateur de + ou de -, qui
bloquera l'attaquant !
Il peut recompiler ce qu'il veut chez lui, et te le downloader ensuite sur
ton PC...
Donc, si on a la place, un compilateur ne représente pas vraiment de
risque supplémentaire.
-------------
> Didier> je ne savais pas encore ça... mais Debian, faut
> vraiment que j'essaye ça :-)
Resistance is futile....
------------
Didier> wait and see...
peut-être que mon 4ème essais d'installation Debian sera le bon ?
après des m... avec des disquettes de boot... les m... avec un lecteur de
CDRom qui déconnait...
J'y arriverai !!!
--
Rémi
_______________________________________________
Linux Mailing List
Archives: http://unixtech.be/mailman/listinfo/linux