Securite: Ferme par defaut ou Ouvert par defaut?

Au niveau securite, je suis plutot du cote “On ferme tout, et apres on voit ce qu’il faut ouvrir”. C’est tres efficace car ca permet de tres bien maitriser ce qui est ouvert au final.
De plus, si on a un collegue indelicat qui installe une merde sans prevenir, ben le mechant pirate pourra pas, via la merde, passer par la pour foutre le souk.

De mon point de vue, cette solution est la meilleure.

Toutefois, j’ai eu l’occasion de rencontrer quelques personnes qui me disent que la technique du “Tout est ouvert, sauf ce qu’on interdit” est meilleure, mais j’ai jamais eu de raison interessante pour justifier cette methode.
Au mieux un “c’est ta machine, tu sais ce que tu fais” qui me semble irrecevable en entreprise, car c’est un travail d’equipe et on peut tous faire une boulette et lancer un logiciel qui ouvre un port a la con.

D’ou ce sondage qui me permettra de voir vers ou les geeks tendent au niveau securite.

Tout argument pour defendre l’une ou l’autre des solutions est le bienvenu.

edit: Petites precisions:
Au vu des reations, il faudrait differencier deux cas tres differents:

_La politique de securite en entree (services ouvert aux tout venants d’internet)
_La politique de securite en sortie (ce qu’on le droit de faire les gens de l’interieur du reseau vers l’exterieur)

J’ai d’ailleurs l’impression que les gens qui votent “ouvert par defaut” pensent “en sortie”. Je vais voir si je peux pas refaire deux sondages distincts, un pour la politique d’entree et l’autre pour la sortie. Visiblement on peut pas editer le sondage.

LoneWolf
En avant la securite.

Pareil que toi, vaut mieux tout fermer et ouvrir au fur et à mesure des besoins.
Dans le cas contraire, il faut déjà absolument savoir quoi fermer donc à l’idéal connaître TOUTES les menaces possibles ce qui, je pense, n’est pas évident.

J’ai voté Fermé par défaut, mais pour mon usage personnel, je fais le contraire (du moins dans le sens sortie). Pour la bonne raison que la sécurité est un curseur entre sécurité et facilité d’utilisation. Donc chaque cas nécessite sa réflexion.

[quote=“LoneWolf, post:1, topic: 44359”]Au niveau securite, je suis plutot du cote “On ferme tout, et apres on voit ce qu’il faut ouvrir”. C’est tres efficace car ca permet de tres bien maitriser ce qui est ouvert au final.
De plus, si on a un collegue indelicat qui installe une merde sans prevenir, ben le mechant pirate pourra pas, via la merde, passer par la pour foutre le souk.

De mon point de vue, cette solution est la meilleure.[/quote]

Je trouve la question un peu débile, il n’y a pas de solution meilleure dans le cas general. Tout depends des cas. Des fois il vaut mieux tout fermer et ouvrir ensuite, des fois l’inverse, ca a des inconvenients/avantages differents, il faut choisir en fonction des cas la solution la plus adaptée.

“Fermer tout par défaut”… ça évite les heures supp.

Justement. developpe les cas ou “ferme par defaut” est mieux, et les cas ou c’est l’inverse.

J’ai peut etre pas bien formule la question en meme temps.

D’autant plus que j’etais parti dans une politique de securite en entree (on protege son reseau des mechants d’internet), le cas de la sortie (protege les gens d’eux meme) est different meme si la solution “tout ferme” reste valable.

LoneWolf
Precisions diverses.

Mais comme d’après ce que j’ai compris la question porte sur un cas “en entreprise”…
En général pour ça il vaut toujours mieux sécuriser un peu plus que ce qu’on fait chez soi vu que tout le monde n’est pas un power geek qui ne clique pas sur tous les fichiers qu’il reçoit par mail etc.

J’ai voté fermé, parce que c’est le seul moyen a mon sens d’etre vraiment secure et de maitriser ce qui se passe.
Cependant, la question me semble un peu faussé.
Quel est le but ? Un serveur de prod ultra sensible ? ou un PC @home pour des utilisateurs non avertis ?

Parce que tout fermer et ouvrir que ce dont on a besoin, ca implique de tout comprendre et de savoir faire --> t’es un utilisateur tres averti, et donc pas dans le cas 2.
Et pour les néophytes qui veulent surfer, voir des videos et jouer un peu, ben faut ouvrir, sinon ils pourront rien faire de leur pc et ca va les gaver…

Bref, tout depend des situations…

Carrément, eh ben tu n’y vas pas de main morte.
Déjà il vient demander un coup de main, ensuite il est poli, autant rester courtois _ B) _

La politique du “on ferme tout et on ouvre si t’es sage” est la bonne, point barre.
Ce qui est “débile” c’est de faire l’inverse : prétendre connaître à la volée les 65535 ports et donc savoir desquels il faut se méfier, lesquels on peut ouvrir sans souci etc… c’est impossible.

Si on parle de Firewall et compagnie, TOUTES les boîtes partent du principe que tout est fermé et on ouvre les ports à la demande, au coup par coup, selon l’application, le réseau etc…

Maintenant c’est vous qui voyez: si une boîte avec 140000 postes en réseau fait comme ça, je pense que l’on peut considérer que c’est une “bonne pratique” et que c’est applicable chez soi.
C’est sur que c’est un peu chiant (je vous mets au défi de faire fonctionner Battlefield2142 du premier coup au travers de deux Firewalls) mais c’est le seul moyen fiable.

Ok, pour la même méthode chez soi, mais je veux aussi les 10 ingénieurs sécurité…

Comme quoi, chaque problématique a sa réponse. Dans le cas d’une entreprise, c’est on ferme tout, c’est clair. Pour un particulier, je suis plus nuancé…

J’ai voté fermé aussi.

En fait il faudrait un bouton doublement (ou triplement) fermé.

[firewall entrant] tout est est fermé sauf les 5 à 10 ports qui vont bien et redirigés là ou il y a besoin, et surtout pas de dmz.

[serveur] le minimum vital est ouvert pour ce qui vient de l’exterieur. Un tout petit peu plus est ouvert pour ce qui vient du reseau local.

[client] firewall softs locaux, pas forcément pour filtrer ce qui vient de l’exterieur (je ne vois pas ce qui pourrait passer hors ce qui est demandé via du nat);
par contre filtrage systématique des paquets sortants, par logiciel et par port, avec autorisation manuelle de l’utilisateur.

C’est a peu pres etanche.

Le dernier point suppose d’avoir des utilisateurs à la limite du power-user, mais pour un usage domestique à peu près safe, ça le fait.

Euh… As tu un ingénieur automobile et Alonso dans ta voiture ?
Un architecte dans ton appartement ?
Un chimiste dans la salle de bain ?
Stark dans ton appartement ?
Etc…

Non, moi non plus car on n’en a pas besoin.

99.99% des gens (noob) utilisent les ports 80 et 443 pour aller mater leur compte en banque à découvert.
Pis t’as les gamers qui ont besoin des ports à la con.
Alors prendre le risque d’ouvrir 65535 ports sous prétexte d’en utiliser une poignée, là c’est quand même étonnant.

Combien de personnes ont besoin de faire du VPN et autre exotisme TCP/IPien comparativement à la masse de nôôbz ayant uniquement besoin de surfer?

En plus si l’info te manque, faut pas éxagérer, elle est dans Google. Quel que soit le problème, on n’est jamais le premier à l’avoir rencontré, et on a toujours des forums spécialisés pour chaque fournisseur d’accès à Internet.

Et puis enfin chaque Firewall est désactivable temporairement (mode Gamer chez ZoneAlarm, désactivation SPI chez NetGear, etc…) donc rien n’est figé.

C’est si bien dit par Deuillevent que je n’ose rien ajouter…

Ah ben si, quand même, juste savoir qu’aujourd’hui, les routeurs SOHO sont configurés par défaut avec les ports minimums qui vont bien en sortie d’usine, et ne pas savoir utiliser les fonctions NAT (lorsqu’on en a réellement besoin) de ses machines pour le noobzor de base, ça revient à devoir lui interdire aussi l’utilisation d’un micro-onde pour des raisons de sécurité bien plus évidentes.

Maintenant, pour le “power-user” que je suis, c’est du tout fermé et j’ouvre quand j’ai besoin. Au pire, si y’a un vrai problème, je monte l’appli qui me saoule sur un PC poubelle que je plante en DMZ le temps de comprendre si le défaut viens de mon incompétence à router ce qu’il faut ou d’autre chose.

Par contre, fait étonnant, autant me planter 10 minutes pour un oubli de configuration de mon routeur ne me gène pas, autant le SP2 de XP ou Vista et leur paranoïa chronique à tout lancement d’appli me gave royalement (mais je trouve ça vachement sécurisant pour Tata Janinne, même si je suis dubitatif dans l’efficacité réelle sur le long terme)

J’ai pas le temps mais le “tout ouvert par défaut” peut être intéressant dans certains cas.

Je développe ce soir car je pars au boulot (je m’occupe de la sécurité d’un grand groupe français… B) )

Si c’est ca le power user, deja je suis pas un power user, mais ca veut surtout dire user qui aime se faire chier. Et tu regardes les trames pour savoir ce qu’envoie ton appli ? on sait jamais…

Ha, au taff, ils sont passés recement en tout fermé par default, je vous raconte pas la premiere semaine, impossible de hotliner le moindre client. Impossible d’ecouter la moindre web radio, bref, faut pas deocnner non plus, ya des limites a la parano. (Bon, en meme temps, c’etait ca, ou orange nous bannait pour spam B))
Et a la maison, je suis en tout ouvert sur le routeur (meme le wifi est open a mort, il part du principe que plus on est de fou plus on rit, mais en meme temps, j’ai pas de voisins a portée de wifi) et en tout ouvert sur ma machine (ouais, je suis un gros flemmeux coté reseau, jveux que ca marche, pas me faire chier, ais-je tort ? )
PS: lors de mes experimentations sous linux, je suis passé en tout fermé, sur un reseau de 7-8 machines a la maison, routés par une xbox sous gentoox. ben, plus jamais hein, le coloc qui peut pas jouer a ses jeux de merdes, ca va 2 min…

Fermé par défaut et ouverture au besoin.
Ca permet d’être sur de savoir ce que tu veux réellement laisser passer.
C’est comme ca chez moi, et la meme a mon taf.
En sortie par contre tout est open chez moi, et au taf tout est fermé excepté 80, 443 (enjoy)

Fermeture puis ouverture.

Mais il faut savoir le sens.
En entrant et en sortant.

Tu fermes tout en rentrant c’est clair.
Mais en sortant cela depend de la boite et des besoins et de la taille.

Car tout vouloir fermer en sortant, cela procure pas mal de deconvenu sur des logiciels. Que meme les revendeurs ne savent pas trop quel est le port utiliser.

Exemple // : un logiciel de dessin industriel fort repute :
Moi : hum que faut il faire pour faire fonctionner votre soft ? J’ouvre quoi ? J’autorise quoi ?
Dev: Admin local de sa machine.
Moi: hum nous sommes en entreprise , on donne pas de droit admin local.
Dev : Si , et c’est pas autrement.
Moi : …

Sachant qu’il faut bosser, bah tu fais.

Pour les ports c’est pareil. Normalement c’est moins le souk. Mais bon. En securité tu fermes tout en entrée.
Puis pour les besoins de la boite ( car eduquer les gens hum c’est jolie en virtuelle mais ne realité c’est autre chose) tu ouvres tout.
Mais fermes les ports standart : 20, 21, 4662 and co.

Je pense Lone tu devrais rajouter en entrée ou en sortie. Mais sinon comme ca c’est tout fermé.

C’est la différence de politique de sécurité entre 2000 serveur (tout ouvert par défaut) et 2003 server (tout fermé par défaut)…

My 2 cents : tu ferme tout et tu ouvre a la demande…

silka, tu semble résumer pas mal le problème de pas mal de programmes Windows : beaucoup ont besoin d’avoir des privilèges d’administration pour fonctionner.

Sur cette base, “Fermer par défaut” semble une bonne solution, en autorisant au cas par cas.

Oui mais il faut savoir ou se placer.
Pour moi il faut scinder entre : les flux entrants et sortants.

les flux entrants sont les plus dangeureux.
Les flux sortants viennent des utilisateurs, des virus, des spywares ( pour moi c’est des virus , ils ont reussi à faire passer ca pour autre chose et vendre d’autres produits …), des logiciels metiers.

En partant de ce constat. Il faut choisir entre pouvoir travailler dans d’excellente condition, ou etre bridé.
Pour moi c’est au cas par cas, car chaque entreprise à sa philosophie, pour les flux sortants.

Car on peut toujours se premunir : alerte par mail d’ouverture de port bizarre : 65554 and co.

Ici nous sommes partis sur : tout fermé en entrant, et ouvert en sortant sauf les classiques.
Il y a toujours un geek dans une boite.