Conseils de sécurité pour Apache-SSL/ VNC sécurisé

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Conseils de sécurité pour Apache-SSL/ VNC sécurisé

Messagepar Mike8Ball » 26 Oct 2004 11:34

Bonjour à tous,

Voila j'aimerais recevoir une (ou des) opinions(s) /conseil(s) sur 2 implémentations de sécurité.

Etant entre autre Flash developer je suis encore contraint d'utiliser Windows comme plateforme/machin à tout-faire...
J'ai décidé récemment de me servir de mon propre PC pour la pré-production de certains sites, ce qui m'a amené à configurer un système WAMP. La sécurité étant pour moi une priorité et un souci majeur mais aussi un terrain nouveau (jusque là je delivrais mon travail sur des sîtes administréS) j'ai fait de mon mieux pour me former et construire un protocole de sécurité.

En voici le détail:

* Plateforme:
- Windows XP Pro SP2 version Us

* Sécurité logicielle implementée:

- XP-AntiSpy; SafeXP;
- Windows Firewall NON activée; Sygate Personal Firewall.
- Protowall (IP Banning);
- Une foule d'anti-Spywares... ;)

* Config AMP

A) APACHE

Distributions utilisées:
Apache : Apache_1.3.31-Mod_SSL_2.8.19
OpenSSL: Openssl-0.9.7d-Win32

J'utilise le HTTPS (sans certificat authentifié) pour crypter des connexions ponctuelles.
Cela en vaut-il réellement la peine ? si oui, dois-je passer par l'achat d'un certificat pour valider l'utilité globale du système ? Y a -t-il des solutions alternatives équivalentes ou plus éfficaces encore au SSL ?

2.Restriction de l'accès par IP et login/password via .htaccess .
2.Ofuscation des info relatives à la version du serveur (HTTP Headers, pages d'erreur..).

B) PHP
La sécurité PHP étante dependante de la fiabilité du codage de chaque applications, il est donc inutile de traiter cet aspect selon moi (j'inclu le php.ini car il est lui même tweaké/optimisé pour certaines applications assez lourdes (ex: Typo3..)

C) MySQL

Compte "Anonymous" éffacé et "root" protégé par password.
Peut-on mieux faire ?...Ai-je passé quelque chose ?


* VNC over SSH

Depuis peu j'utilise Ultr@VNC pour établir des prises de contrôle à distance:
Existe-t-il des solutions Open-source et/ou Freeware nativement sécurisé SSH2?

Pour accroitre la sécurité (inexistante) d'Ultr@VNC j'utilise donc OpenSSH (setupssh381-20040709.exe) en conjonction avec Putty.
La configuration avec ultra@VNC a supposé au dèbut une légère prise de tête mais cela a valu la peine:


Peut-on mieux faire ? jusqu'a quel point peut-on se fier de l'éfficacité de OpenSSH ?

Par ailleurs je souhaiterais surveiller les paquets... un Packet Sniffer à me conseiller en particulier( pour plateforme) ?
J'ai bien essayé Ethereal mais pour un newbie c'est un peu lourd je trouve...

Voila ça fait beaucoup donc un GRAND merci d'avance à tous! :)
Mike8Ball
Matelot
Matelot
 
Messages: 2
Inscrit le: 25 Oct 2004 11:13

Messagepar bebertjack » 26 Oct 2004 17:46

Bonjour,


A/ utilisé SSl ou pas est simplement un choix en fonction des informations qui transitent, quand à l'utilisation d'un certificat payant permet au client d'avoir confiance dans le site auquel il accède, et donc n'a pas une grande utilité pour toi si tu est le seul a te connecter (je pense que tu te fait confiance).
SSL me semble le bon choix puisqu'il s'agit de tester des sites webs et le navigateur utilise nativement SSL.
En ce qui concerne le filtrage via @IP c'est tres bien si tu te connecte toujours depuis le même site (attention si tu bouge), cacher les infos pourquoi pas même si il doit exister des moyens de reconnaitre un serveur qui cache ce genre d'info.

En ce qui concerne OPENSSH je pense qu'on peut lui faire confiance car si il y a une vulnérabilité elle est vite corrigé (au faite sur quelle plateforme est-il)
De meme si tu te connecte via Ultr@VNC sur ton windows tu peut essayer Terminal server (si il y en a un dans win XP pro). J'ai cette config avec openssh et ca marche tres bien.


En ce qui concerne le sniffer je pense pourtant q'ethereal est assez simple d'emploi le probleme est la compréhsion des informations qu'il te donne et la il faut connaitre un peut le réseau pour comprendre.

par contre si tu sniff toute la journée pense à mettre des filtre sur ce qui t'intéresse sinon ton PC risque l'indigestion. Deplus tu dois pouvoir te servir des log APACHE pour compléter tes traces réseaux

Une remarque puisque tu a ouvert ssh depuis l'extérieur pourquoi ne pas faire passer tes connexion HTTP dedans ainsi pas besoin d'ouvrir le port HTTP et/ou HTTPS à Internet, et en plus tu soulage ton serveur web car il n'a pas besoins de décrypter/encrypter les requetes clientes.

En esperant ne pas etre trop brouillon
bye
bebertjack
Major
Major
 
Messages: 71
Inscrit le: 30 Mars 2004 11:23

Messagepar Mike8Ball » 27 Oct 2004 16:26

Hello,

Merci de ta réponse :) et non tu n'as pas été brouillon du tout. Tu m'as même eclairé sur la possibilité qu'offre SSH de "tunneliser" le HTTP

Une remarque puisque tu a ouvert ssh depuis l'extérieur pourquoi ne pas faire passer tes connexion HTTP dedans ainsi pas besoin d'ouvrir le port HTTP et/ou HTTPS à Internet, et en plus tu soulage ton serveur web car il n'a pas besoins de décrypter/encrypter les requetes clientes
.

Maintenant, j'avoue que je ne mettais interessé au SSH que dans une optique bien précise, celle de "forwarder" (via PuTTy ou autre) le port de mon client VNC. N'étant familiarisé avec SSH que depuis une semaine mes connaissances sont encore limitées. Je vais devoir reouvrir quelques PDFs..

Si jamais l'envie te prend de m'en reparler plus en détail je ne serais pas contre non plus :D
Mike8Ball
Matelot
Matelot
 
Messages: 2
Inscrit le: 25 Oct 2004 11:13

Messagepar bebertjack » 27 Oct 2004 17:12

Bonjour,

Quelques infos supplémentaires seraient les bienvenues.

Fait tu tout ce que tu décris sur une seul machine ou sur plusieurs (serveur web, serveur VNC, serveur SSH...).
En ce qui concerne le forwarding c'est pas compliqué (en plus tu a un exemple avec ton VNC :) ).

Normalement il suffit de dire au serveur d'accepter le port forwarding (c'est le cas) pour la conf du client (putty) ca dépend si le serveur web est sur la même machine que le serveur SSH. Si c'est le cas il suffit d'aller dans l'onglet forwarding et d'en ajouter un :

par exemple 127.0.0.2:80 vers localhost:80
sinon

127.0.0.2:80 vers "adresse_IP_serveur_Web":80

et donc tu monte ta connexion SSH et tu tape dans ton navigateur http://127.0.0.2

Bon tests

----------------------------------------------------------------------------------
tu trouvera plus d'info sur
http://www.ssh.com/support/documentatio ... rding.html
bebertjack
Major
Major
 
Messages: 71
Inscrit le: 30 Mars 2004 11:23


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 0 invité(s)

cron