Marqueurs de l’incompétence en sécurité informatique

Marqueurs de l'incompétence en matière de sécurité informatiqueC’est la dernière journée de formation que je donne sur la sécurité informatique à mes jeunes apprenants. Je vais synthétiser, selon moi, les marqueurs qui permettent de mesurer le degré d’incompétence de vos interlocuteurs dans le domaine de la sécurité informatique :

  1. permettre un accès Telnet aux switchs, routeurs et autres composants actifs ;
  2. laisser l’authentification par mot de passe et le port 22 par défaut sur un serveur SSH ;
  3. accéder aux serveurs de messagerie ou aux serveurs FTP (sauf accès anonyme) sans certificat SSL/TLS ;
  4. autoriser, au niveau du firewall global, la sortie de paquets sur les ports udp/123 et udp/53, sans aucune restriction ;
  5. désactiver le pare-feu des stations et des serveurs Windows et Linux ;
  6. autoriser tout le trafic sortant, sans restriction, au niveau du pare-feu des machines ;
  7. laisser l’IPv6, le NetBios over IP, le LLMNR sur les stations et les serveurs par pure flemme (genre poireau ou baobab dans la main) ou mauvaise foi, sans que cela soit justifié ;
  8. pas de proxy ;
  9. affirmer de manière apodictique que Linux serait plus sûr que Windows ou vice versa ;
  10. dire que vous n’auriez rien à cacher  ;
  11. asséner à qui veut l’entendre que la meilleure défense serait l’attaque ;
  12. laisser s’installer Kdump sous Linux et laisser la configuration Memory Dump par défaut sous Windows ;
  13. affirmer que le logiciel propriétaire serait plus sûr que l’Open Source !!!

Il y en a bien d’autres. Et vous, quels sont les vôtres ?

NB Si vous rentrez dans l’ensemble des cases proposées, je vous invite à faire autre chose que du réseau et accessoirement de la sécurité informatique. ;+)

Sécurité  / Formateur Sécurité informatique Sécurité informatique 

Commentaires

Bonjour Denis.
Pourriez-vous expliquer le point 7 « pas de proxy » svp ?

@Jérémy

Un proxy sert surtout à filtrer les accès, tout en disposant d’un cache accélérant les connexions. Grâce aux journaux de connexions, il permet accessoirement à l’entreprise de se protéger juridiquement d’utilisations « exotiques » de la bande passante.

Dans le ssh j’aurais ajouté authentification avec le compte Root

@Darkbad

Quel est le souci de se connecter en root, avec une clé et en interdisant les mots de passe, par rapport au sudo ???

Mouai ! Un proxy genre Squid ? Les proxy sont pas géniaux pour la sécurité je trouve. Il faut une mise à jour régulière des listes d’acces aux domaines malveillants et le SSL est très mal pris en charge. Il existe des solutions de web filtering plus moderne non ?

Pour le SSH ou le reverse SSH c’´est pas l’usage d’un autre port qui va résoudre grand chose si le pirate est motivé. pour les bots et les troyans ok.

@Captainigloo

Il y a trois raisons à la mise en place d’un proxy :

1. la traçabilité (se protéger des comportements déviants de salariés)
2. le filtrage (éviter le cyber-glandage) et l’accès à des sites pas sûrs.
3. la mutualisation de la bande passante.

Un petit classe A serait mieux : Deux brêches
https://schd.io/4v0U

@Captainigloo

Allez-y… Expliquez-moi ce que ça veut dire ! En ce qui me concerne, j’en ai une idée extrêmement précise. J’attends vos réponses. J’attends vos attaques avec une impatience non dissimulée.

Je connais assez bien les proxy mais je leur accorde seulement la fonction cache, pour la sécurité pas fan du tout ?Le web filtering dns semble plus adapté il me semble.

@Captainigloo

Mettez en place Squid+SuiqdGuard et, après, on en reparle si vous le voulez bien. J’ai une sainte horreur de parler avec des gens qui ne connaissent rien à ce qui raconte. ;+) Et, manifestement, c’est votre cas !

Comment pouvez-vous présumer de mes compétences ainsi ? Allez tchao et réglez votre problème de sécurité de votre site…

J’uti Squid depuis 8-10 ans mais c’est pas grave.

@Captainigloo

Mais quel problème de sécurité ? Vous n’êtes même pas foutu d’expliquer quoi que ce soit !

Si vous connaissiez SquidGuard, vous ne raconteriez pas ce genre d’inepties.

Il y a deux types d’expert en sécurité : ceux qui savent tout ! Vous a priori.
Et ceux qui ont appris à être humble.
Bonne soirée,
Sebastien

@Captainigloo

Ne vous inquiétez pas pour moi. Je suis resté très humble, surtout dans le domaine de la sécurité informatique ! Par contre, pour vous, je suis inquiet. vous êtes classé D sur securityheaders.io. ;+) Un grand classique digne des frères Lumière !

@Captainigloo & Denis Szalkowki
Les gars, je vous trouve un peu tendu, si vous voulez jouer à qui à la plus grosse, utilisez un site d’analyse plus complet, qui va au dela du header puisqu’on parle de sécu! ;)

And the winner is…

https://www.ssllabs.com/ssltest/analyze.html?d=www.domotique-info.fr&s=87.106.183.92

https://www.ssllabs.com/ssltest/analyze.html?d=www.dsfc.net&s=195.154.102.202

tchuss

Laisser un commentaire

(requis)

(requis)