====== Sécurité réseau ====== ===== Documentation ===== [[http://cwe.mitre.org|CWE - Common Weakness Enumeration]]: International in scope and free for public use, CWE™ provides a unified, measurable set of software weaknesses that is enabling more effective discussion, description, selection, and use of software security tools and services that can find these weaknesses in source code and operational systems as well as better understanding and management of software weaknesses related to architecture and design.\\ http://cwe.mitre.org [[/informatique/reseau/securite/traces_de_scan_bot_http]] [[http://www.backtrack-linux.org|BackTrack – Penetration Testing Distribution]]: Une distribution Linux dédiée aux tests de pénétration. * [[https://www.ipdeny.com/ipblocks/|IPdeny country block downloads]] ===== Tests ===== PenTesting ===== Prestataires ===== Rencontrés: * SealWeb * AlterWay consulting Pas encore regardé : * http://sysdream.com/ * http://www.dotsafe.fr/ ===== Produits ===== [[http://www.hermitagesolutions.com/produits|Hermitage Solutions]] propose plein de produits de sécurité informatique, notamment l'IronKey, une clé USB avec chiffrement AES intégré. Il faut compter 69 €ht pour 1GB jusqu'à 276 €ht pour 16GB. ===== Outils ===== ==== KeePass ==== Gestionnaire de mots de passe et autres secrets: [[/informatique/KeePass|/informatique/KeePass]] ==== Audit ==== === Lynis === Lynis effectue des audits approfondis, examinant chaque aspect du système pour y déceler des faiblesses. Il vérifie les configurations, les permissions de fichiers, les paramètres de sécurité du réseau et bien d’autres éléments importants. [[https://blog.stephane-robert.info/docs/securiser/durcissement/lynis/|Lire la suite]] sur le blog de Stéphane Robert. * https://cisofy.com/lynis/ * https://github.com/CISOfy/Lynis ==== Protection active ==== === Floodmon === Floodmon : surveillance, alerte et mitigation des attaques SYN flood. Floodmon fonctionne essentiellement en manipulant les variables de la pile TCP/IP. Cela concerne l'activation/désactivation de certaines d'entre-elles, la modification de la taille des files d'attente, des timeout et retransmissions etc. Ces éléments sont modifiés en temps réel dans le pseudo-système de fichiers '/proc' tout au long d'une attaque SYN flood et suivant l'ampleur de celle-ci. Il dispose d'autres possibilités de défense comme null-router des blocs entiers d'adresses IP (/8, /16 ou /24) et bloquer des ports distants. Il fonctionne avec 4 niveaux de protection, chaque niveau ayant sa propre configuration et peut se montrer relativement aggressif en cas de nécessité. Enfin, il peut alerter l'administrateur de toute éventuelle attaque (par email et/ou SMS), envoyer un rapport détaillé de celle-ci et même y joindre une capture (pcap) des segments SYN reçus pour analyse. http://spamcleaner.net/fr/misc/floodmon.html === DenyHOSTS === Détecte et bloque les brutes force vers SSH. http://denyhosts.sourceforge.net/features.html === Crowdsec === * [[/informatique/securite/crowdsec]] === Fail2Ban === Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. * [[/informatique/system_admin/fail2ban]] === mod_evasive === C'est un module pour Apache. mod_evasive is an evasive maneuvers module for Apache to provide evasive action in the event of an HTTP DoS or DDoS attack or brute force attack. It is also designed to be a detection and network management tool, and can be easily configured to talk to ipchains, firewalls, routers, and etcetera. mod_evasive presently reports abuses via email and syslog facilities. Detection is performed by creating an internal dynamic hash table of IP Addresses and URIs, and denying any single IP address from any of the following: * Requesting the same page more than a few times per second * Making more than 50 concurrent requests on the same child per second * Making any requests while temporarily blacklisted (on a blocking list) http://www.zdziarski.com/projects/mod_evasive/ ==== Blacklist ==== === Phishing and Malware Protection === L'hameçonnage ou filoutage (phishing) est une technique de dissimulation d'adresse URL utilisée malhonnêtement pour tromper les internautes. Outils Google : * Google diagnostic: http://www.google.com/safebrowsing/diagnostic?site=http://www.giquello.fr * Signaler une erreur dans les alertes d'usurpation d'identité (protection contre les attaques phishing Firefox): http://www.google.com/safebrowsing/report_error/?tpl=mozilla * [[http://code.google.com/intl/fr/apis/safebrowsing/|Google Safe Browsing API]] : The Safe Browsing API is an experimental API that enables client applications to check URLs against Google's constantly updated blacklists of suspected phishing and malware pages. Your client application can use the API to download an encrypted table for local, client-side lookups of URLs that you would like to check. Outils Mozilla : Pages de test Firefox: You can test to see if Firefox's Phishing Protection is active by trying to visit our [[http://en-us.www.mozilla.com/firefox/its-a-trap.html|phishing test site]] and the [[http://en-us.www.mozilla.com/firefox/its-an-attack.html|malware test site]]. [[http://en-us.www.mozilla.com/en-US/firefox/phishing-protection/|More info about Firefox's Malware and Phishing Protection]]. Autres: * http://www.phishtank.com ([[http://www.phishtank.com/developer_info.php|Developper page]]) * http://www.stopbadware.org === Spam protection === http://www.rbl-watcher.com/list-rbl ===== Conseils ===== On a donné dans ce fil de discussion quelques conseils de sécurité, mais à mes yeux on oublie la sécurité essentielle, du moins de la façon dont les choses semblent présentées... Il me semble que l'on parle ici d'une société où plusieurs employés utilisent l'outil ftp, pour mettre des sites à jour,... cela semble donc être une activité "courante", et dans ce cas il y a des choses à mettre en place pour sécuriser les connexions ftp, comme par exemple utiliser une adresse IP fixe et limiter les connexions ftp sur le serveur à cette seule IP (cela peut aussi être une IP fixe privée au sein d'un VPN géré par le routeur de l'entreprise, et donc dont les employés n'ont pas les codes),... Ceci est vrai pour le ftp mais aussi pour de nombreux autres protocoles. Ce n'est d'ailleurs qu'un exemple, mais le but est avant tout de mettre en place des sécurités indépendantes des utilisateurs, qui font que même en possession des infos que possède l'utilisateur, le hackeur n'a aucun accès.