Securite: Ferme par defaut ou Ouvert par defaut?

Ben je crois que tout a été dit. Pareil pour moi " Tout fermé et on ouvre selon le besoin".
Je vois pas pourquoi on ferai le contraire…

Hehe, on distingue bien les experts des paranos …

En terme de sécurité, je suis désolé, mais y’a pas de “bonne politique”. Ca dépends de très nombreux facteurs (risque, niveau des utilisateurs, leurs besoins, leur disparité etc).

Pour moi, la politique du “on ferme tout dans les deux sens” n’est clairement pas la bonne. Etre catégorique la dessus implique tout bonnement que l’on se sent incapable de maitriser ce qu’il se passe chez soi.
Ok, il y a des cas (ma boite en est un excelent exemple) ou il y a autant de besoins que d’utilisateurs, tous avec des profils completements différents. Là, il est en effet préférable de tout fermer, et d’autoriser au cas par cas. Mais là encore, il y a deux personnes qui sont là pour ca (avec les analyses de problèmatiques qui vont avec).

Dans un environnement plus homogène, ce n’est clairement pas sur le réseau qu’il faut faire le controle, car, potentiellement, une porte de sortie légitime pourra toujours être utilisée à des fins illégitimes. Le controle des applicatifs est à la portée de tout bon administrateur, et sera d’une manière générale une solution beaucoup plus efficace.

@ home, j’utilise la politique du tout ouvert, sauf quelques ports bloqués en entrée.
Alors, non, je ne connais pas les 65535 ports, et j’en ai rien a foutre. Ca reste un numéro, et ca ne spécifie pas de maniere certaine ce qui peux y avoir derriere.
Par contre, la machine exposée à un certain nombre de services et d’applicatifs autorisés. Chaque port ouvert sur l’exterieur l’est pour une bonne raison, et l’applicatif derriere chaque port tourne avec des privilèges restreints à ses besoins propres.

Oui, je suis sous windows. Non, a pas peur du tout.

Bof. Quand t’as un collègue qui t’appelle passque son appli marche pas, et que tu mets 1h à te rendre compte que c’est parce qu’elle cherche à écrire dans un rep sans les droits et/ou à s’auth sur le net, c’est aussi du temps bêtement perdu. (ben oui, y’a plein d’applis à la con qui plantent sans donner de message compréhensible, même dans le milieu professionnel)

edit : ah bah une fois de plus chuis complètement d’accord avec Tzim.

C’est marrant, je ressors tout juste (mais vraiment tout juste, la mission c’est fini aujourd’hui) d’une mission « schéma directeur de sécu » pour une grande banque francaise. Et le paradigme que l’on défend (parmi beaucoup d’autre sujets) est qu’il faut gérer les habilitations en « tout sauf » : tout est autorisé sauf exceptions, mais filmé. L’aspect « filmé » correspond aux traces (i.e. logs) qui doivent être faits de manière systématique et dont le pouvoir dissuasif permet d’assurer un niveau de sécu minimum.

Et pourquoi cette approche plutôt que l’inverse ? Parce que l’on constate que donner des autorisations à n’en plus finir aux utilisateurs est totalement improductif, déresponsabilisant, et contribue à faire croître sans cesse les référentiels de sécurité (base, fichiers, LDAP ou autres) qui en deviennent donc inmaintenables.

Il vaut donc mieux, appli par appli, faire une analyse des risques pour isoler les quelques features qu’il faut vraiment verrouiller (et pour lesquelles si on laisse faire nawak, le préjudice financier, moral, … peut etre important) et ouvrir tout le reste.

En tout cas, ce discours plait bien aux DSI :wink:

Edit : j’ai relu le post en entier, vous parlez souvent de sécu système (Firewalls …), mon raisonnement est surtout applicable à de la sécu applicative. En fait, en théorie c’est applicable partout, mais il faut que la trace ait un vrai pouvoir dissuasif. Et quand on log une IP sur Internet, ca sert pas à grand chose … (à court terme en tout cas) ; à l’inverse logger une adresse IP dans une boite peut facilement suffire à remonter à l’utilisateur final.

Complétement d’accord avec viewww (on doit faire presque le même métier d’ailleurs B)). A force de dire “on ferme tout sauf n exceptions” ça devient rapidement ingérable.

Je m’explique : imaginez qu’une de vos filiales veut se connecter à votre réseau interne. Vous allez dire ok, mais fournit nous la liste des ports et adresses IP auxquels vous voulez accéder, et en général (c’est du vécu) c’est la que ça coince. Car ils ne savent pas trop de quoi ils ont besoin, du coup soit ils disent démerdez vous et là y 50% des applis qui ne vont pas fonctionner, soit ils donnent une liste largement plus large que ce dont ils ont besoin “au cas où” B)

Du coup moi ce que je préconise c’est de tout ouvrir en interdisant les protocoles (netbios par exemple) et les ports dangereux, en supervisant le tout bien entendu. Et c’est vrai que c’est séduisant comme idée (en tout cas ça plaît à mon client actuel…)

Ca dépend vachement de l’utilisation quoi. En entreprise/gros réseau avec plein d’utilisations plus ou moins exotiques ou un petit réseau privé @ home c’est pas pareil. Chez moi tout fermé en entrant, sauf 4-5 ports, et j’ai viré le contrôle sortant (en gros j’ai désinstallé le FW ^^), parce que ca me lourdait et qu’au final j’ai pas l’impression que ça me soit très utile.

Bah oui “ca depend” B)

Oui c’est un peu une réponse de normand B). Mais c’est pour ça que je ne vois pas trop l’intérêt du sondage (car les “ouvert par défaut” sont vraiment réservés à des cas très spécifiques)

Chez moi pour mon utilisation à moi que j’ai c’est :

  • tout ouvert en sortant
  • fermer par le routeur tous les flux entrant tant que je suis pas certain de la securité du systeme.

Par exemple sur Amiga, je laisse tout ouvert, parcque même si c’est probablement bourré de failles de sécu (encore que… l’OS est simple et rudimentaire, je suis pas raisonablement certain qu’il y ai tant de failles potentielles), le risque pratique qu’une saloperie qui traine s’attaque spécifiquement à une faille d’AmigaOS est très limité. (on doit être quoi ? 2000 utilisateurs en France ? 30 000 dans le monde ?), donc même si le risque théorique existe (et pas qu’un peu, je crois me souvenir que la pile TCP/IP par défaut d’AOS4, qui est le même binaire que la pile par défaut d’AOS 3.9 et 3.5 d’ailleurs et fonctionne par émulation du 68000, n’a pas été mis à jour depuis au moins 1997, et en 1997 il y avait des failles connus qui n’ont jamais été corrigés en 10 ans), je me sens suffisament securisé en pratique pour DMZ l’Amiga.

Sous windows en revanche je ferme tout tant que le systeme est pas completement mis à jour et l’auto update configurée. Là encore, ça prévient pas tous les risques, il existe probablement des failles pas encore corrigées, mais vu que l’experience montre qu’une faille est généralement corrigée par windows update avant d’être exploitée en masse, ce niveau de securité me suffit.

Maintenant, je suis un particulier, et je n’ai aucune donnée plus cruciale sur ma machine que les sauvegardes de mes jeux, donc je peux sacrifier un peu de securité contre de la praticité. Si j’étais une entreprise, je ferais un peu plus attention à mes machines, et effectivement j’ouvrirais les ports/ports range au cas par cas lorsque c’est nécéssaire.

J’y connais pas grand chose en sécurité, mais c’est clair que dans une organisation, si le nombre d’exceptions est trop grand, c’est que la règle ne sert pas à grand chose B).
Après, au niveau de ma boite, pour le wifi, je trouve ça marrant. Tu te connectes avec n’importe quel PC au wifi, par contre, si tu n’es pas authentifié (clef physique de type sim), tu n’accèdes à rien.

[quote=“silka, post:17, topic: 44359”]Exemple // : un logiciel de dessin industriel fort repute :
Moi : hum que faut il faire pour faire fonctionner votre soft ? J’ouvre quoi ? J’autorise quoi ?
Dev: Admin local de sa machine.
Moi: hum nous sommes en entreprise , on donne pas de droit admin local.
Dev : Si , et c’est pas autrement.
Moi : …

Sachant qu’il faut bosser, bah tu fais.[/quote]

Que dalle. Je suis intégrateur d’applications et mon taff consiste à tester, paramétrer, packager et télédistribuer les applis dans ma boite. 99% du temps, en ouvrant les bonnes permissions sur certains fichiers, et dans le registre, on arrive a faire fonctionner l’appli en utilisateur. Pour des applis qui n’utilisent pas les propriétes système bien sur, pour des softs genre Everest (à mon avis, pas testé), ou qui tapent dans la gestion des utilisateurs ou les trucs natifs windows du même genre (gestion des disques,…), c’est évidemment pas possible.

Concernant la sécu:
En entrant: Déjà primo on arrive sur une DMZ directement, et ça permet de monitorer et de dégager certaines saloperies, puis on arrive sur le firewall, qui lui, filtre. Pour moi on ferme tout et on ouvre ensuite selon les besoins. Mais cela s’applique uniquement dans un contexte comme le mien. En effet en tant qu’ intégrateur d’applis, je tests aussi les ports éventuellement utilisés par les softs, avec un port viewer, et donc on sait exactement quoi ouvrir.

En sortant: on laisse tout ouvert sauf ce qu’on veut bloquer , mais en monitorant, pour détecter si un malware balance du spam.

A la maison j’ai une DMZ sur mon poste parce que ça ma fait chier d’ouvrire à la mano et faut rebooter le routeur ou la freebox à chaque fois. comme je suis pas le seul à utiliser le net ça saoule tout le monde. Donc je gère avec un FW soft sur mon poste, et j’interdis les ports sensibles et certains protocoles. Ca reste relativement ouvert, comme chez Tzim, mais mes données sont toujours sauvegardées, et de toute façon sont sans interêt pour un hacker. Jamais eu de problème de virus ni rien.