Planet

Comme je l'ai déjà dit à de nombreuses reprises sur ce blog, j'ai assisté au SSTIC cette année, et j'ai eu l'occasion de faire une présentation des conférences à mon boulot.

Même si le SSTIC est passé depuis 1 mois, je partage quand même mes slides! C'est peut être plus simple à lire pour avoir un aperçu des présentations qui ont été données. Attention toutefois, ces slides sont prévues pour être accompagnées d'explications orales, il manque donc beaucoup de détails sur celles-ci ;-)

Puisque je suis inscrit sur Slideshare, j'en ai profité pour y déposer les slides ;-)

Wrap up SSTIC 2013 from quack1

Comme je l'ai déjà dit à de nombreuses reprises sur ce blog, j'ai assisté au SSTIC cette année, et j'ai eu l'occasion de faire une présentation des conférences à mon boulot.

Même si le SSTIC est passé depuis 1 mois, je partage quand même mes slides! C'est peut être plus simple à lire pour avoir un aperçu des présentations qui ont été données. Attention toutefois, ces slides sont prévues pour être accompagnées d'explications orales, il manque donc beaucoup de détails sur celles-ci ;-)

Puisque je suis inscrit sur Slideshare, j'en ai profité pour y déposer les slides ;-)

Wrap up SSTIC 2013 from quack1

17 Juillet 2013 à 13:00

Mir et XMir dans Ubuntu dès octobre via Ubuntuser

De nombreux défis attendent Ubuntu dans son projet de convergence entre diverses plateformes. L'un de ceux-ci est le développement et l'adoption d'un nouveau serveur d'affichage graphique, nommé Mir, qui atterrira dans la distribution dès la prochaine version au mois d'octobre. Construire sur du neuf plutôt que modifier l'historique serveur graphique X.org permet de créer une pile plus légère et plus performante dans un environnement convergeant. Mir a aussi la capacité d'exploiter les pilotes conçus pour Android, ce qui le rend particulièrement intéressant en prévision d'un déploiement sur mobiles. Une première version du couple Mir/Unity 8 a été démontrée à la fin du mois de mai, dans un environnement de test dans un ordinateur portable et dans un Galaxy Nexus. Cependant, si l'adoption de ce nouveau serveur graphique sera sans doute moins douloureuse sur mobiles, de nombreuses applications pour postes de travail dépendent directement de la pile graphique déjà existante. Pensons entre autre aux environnements de bureau. Certes, ils peuvent être adaptés pour utiliser les technologies de Mir, mais ceci demande du temps et de la volonté. Pour palier à ce problème, XMir a été développé. XMir est un greffon permettant de faire fonctionner un serveur X.org au-dessus de Mir, de manière à ce que toutes les applications nécessitant X.org fonctionnent malgré la présence de Mir. Thomas Voß, développeur d'Ubuntu travaillant sur le projet Mir, a récemment publié des captures d'écran démontrant GNOME Shell, KDE, Xfce et LXDE fonctionnant avec XMir, donc dans un environnement où Mir est le principal serveur graphique ; Jono Bacon a plutôt opté pour une vidéo de démonstration.  

Les objectifs pour octobre 2013

Afin de le tester et le peaufiner davantage dans un pléthore de configurations, il est prévu que Mir devienne le serveur d’affichage par défaut dans Ubuntu 13.10. Les objectifs pour octobre, tels qu'annoncés par Oliver Ries, ingénieur de Mir chez Canonical, sont les suivants :
  • dans Ubuntu Touch, Mir avec Unity 8 seront de la partie ;
  • dans Ubuntu pour postes de travail, Unity 7 sera l'interface par défaut et fonctionnera avec XMir lorsque la puce graphique utilise un pilote libre (intel, nouveau ou radeon, par exemple) ;
  • toujours dans Ubuntu pour postes de travail, Unity 7 fonctionnera au-dessus d'un serveur X.org traditionnel lorsque la puce graphique utilise un pilote binaire non-libre (les pilotes nvidia et fglrx, par exemple).
Dans un premier temps, Mir est installable à partir d'un PPA dans Saucy Salamander. Les ingénieurs de Mir discutent actuellement avec les personnes en charge de l'expérience utilisateur chez Ubuntu pour définir une date à partir de laquelle Mir remplacera X.org dans les images de développement. La transition devra être transparente pour l'utilisateur final. Cette première itération stable sera aussi l'occasion de publier une première version de l'API de Mir pour permettre à d'autres projets d'utiliser Mir.  

Kubuntu et Lubuntu n'adopteront pas XMir

Suite à l'annonce de ce plan de déploiement dans Ubuntu, les personnes en charge des projets communautaires Kubuntu et Lubuntu ont déclaré que leurs variantes n'adopteront pas Mir. Jonathan Riddell a publié un billet dans les blogs de KDE dans lequel il indique que Kubuntu demeurera fidèle à X.org dans Kubuntu 13.10. L'équipe de Kwin (le gestionnaire de fenêtres de KDE) n'a aucun plan pour un jour prendre en charge Mir ; du coup, il n'est pas dans l'intérêt de Kubuntu d'adopter Mir (même s'il a été démontré que KDE peut fonctionner au-dessus de Mir avec XMir). Kubuntu compte suivre les plans de l'équipe de Kwin, à savoir rester avec X.org jusqu'au passage à Wayland. Du côté de Lubuntu, Julien Laverge a posté dans la liste de diffusion ubuntu-devel l'intention de la variante de conserver aussi X.org pour la prochaine version. Considérant les mauvaises performances de certains équipements lorsqu'elles utilisent un compositeur -- et ces équipements sont la cible principale de Lubuntu --, l'équipe préfère simplement observer l'avancée de Mir et XMir sans procéder à un changement officiel. Xubuntu, Edubuntu et Ubuntu GNOME n'ont pas encore fait d'annonce à ce sujet.  

Les plans pour l'après-Saucy

Pour la prochaine version LTS (14.04), Ubuntu pour postes de travail fonctionnera encore avec une solution basée sur XMir mais, cette fois-ci, ce sera aussi bien pour les pilotes libres que pour les pilotes propriétaires. Ces derniers devraient en effet prendre en charge Mir. Avec la version 14.10 qui suivra, on devrait voir pour la première fois le serveur Mir fonctionnant sans l'aide de XMir pour afficher Unity dans l'édition pour postes de travail. La convergence graphique sera enfin attente entre les éditions bureautique et mobile. Kubuntu sera fournie avec X.org pour Kubuntu 14.04. Jonathan Riddell espère ensuite que Wayland sera assez mature et deviendra le serveur d'affichage par défaut à partir de Kubuntu 14.10 -- en phase avec les choix faits par l'équipe de Kwin de ne prendre en charge que Wayland. Lubuntu sera aussi fournie avec X.org pour Lubuntu 14.04. Cependant, cette variante est tout d'abord observatrice des avancées de Mir et reste ouverte à l'idée d'adopter Mir à partir de Lubuntu 14.10 si les performances sur des équipements moins récents sont au rendez-vous.  

Xmir, des performances en retraits... Pour le moment

À la demande de Canonical, Phoronix a réalisé une première série de tests avec une puce graphique Intel en 3D et en 2D, ainsi qu'avec le pilote Nouveau pour les cartes graphiques Nvidia, le tout sur la version de développement de XMir. Visiblement, sans trop de surprise, les performances restent en retrait par rapport à un serveur X.org seul. Dans un article récent, Christopher Halse Rogers, l'un des développeurs principaux de Mir, explique quels sont les points à améliorer pour offrir des performances au niveau de celles de X.org :
  • activer le contournement du compositeur lorsqu'une application fonctionne en mode plein écran (tel que les jeux ou les films) ;
  • optimiser la communication entre Mir et X.org ;
  • quelques problèmes liés à la gestion du pointeur de la souris.
D'autres points pourraient également impacter positivement les performances avec certaines puces graphiques, comme la prise en charge par SNA de l’accélération 2D dans les GPU Intel. Toutes ces optimisations devraient arriver avant la sortie d'Ubuntu 13.10 en octobre prochain. On restera donc attentif quant à l'évolution des performances, point important si les développeur souhaitent proposer XMir rapidement aux utilisateurs.
Depuis 2009, l’association Ubuntu-fr installe chaque année au festival des Vieilles Charrues un webcafé. Du vendredi au dimanche dans La Garenne du festival, à côté du Cabaret Breton, les festivaliers pourront donc surfer entre deux concerts. Ils y découvriront (peut-être) les Logiciels Libres ! Aucune limite, ils pourront même installer de nouveaux logiciels depuis la logithèque. Douze bénévoles (Ubuntu-fr, Infothema et Linux MAO) seront là pour les accompagner et clamer tout le bienfait de cet environnement Libre :) webcafe-monde Cette année, la technique évolue. Nous avons remplacé les deux gros vieux serveurs multiseat par 12 mini-PC (Intel NUC) pour une expérience bien meilleure ! Comme l’an passé, nos fans pourront se faire tatouer sur tout le corps de magnifiques Tux et logo Ubuntu (tattoo temporaire, ça va de soit). Et comme d’habitude, Bluedid mettra le stand en musique !

 

Lancé il y a maintenant six mois, le projet de convergence d'Ubuntu entre les plateformes mobile et bureautique suit tranquillement sa route. Depuis début juin Canonical a annonce la formation d'un groupe pour les opérateurs souhaitant diffuser Ubuntu Touch. Il n'est toutefois pas encore question d'une version massivement distribuée par des opérateurs dès le mois d'octobre ni d'une version déjà embarquée dans certains modèles de mobiles. La première version stable d'Ubuntu Touch sera avant tout une version démontrant les capacités d'Ubuntu adaptée à un contexte d'utilisation sur plateforme mobile. Elle est donc à considérer davantage comme une "plateforme promotionnelle".

Accord avec les opérateurs

Canonical a formé, à la mi-juin, un groupe de consultation pour les opérateurs de téléphonie mobile, qui pourront ainsi suivre et influencer le développement d'Ubuntu Touch pour un lancement commercial. Lors de l'annonce initiale, huit opérateurs ont officiellement rejoint le Carrier Advisory Group (CAG). On les retrouve parmi plusieurs marchés :
  • Deutsche Telekom
  • Everything Everywhere (EE)
  • Korea Telecom
  • Telecom Italia
  • LG UPlus
  • Portugal Telecom
  • SK Telecom
  • un opérateur espagnol qui n'a pas été nommé (mais soupçonnée d'être Telefónica)
Membres fondateurs du CAG Quatre autres opérateurs, indonésien (PT Smartfren Telecom), chinois (China Unicom), australien et étasunien, font également partie du groupe -- et Mark Shuttleworth souhaiterait recruter des joueurs nippons et africains. Canonical espère qu'au moins un opérateur dans chacun des grands marchés téléphoniques adhérera au CAG. Les rencontres du CAG se dérouleront autour d'enjeux importants tant pour l'avancée d'Ubuntu Touch que pour les besoins des opérateurs : éviter une possible fragmentation des plateformes mobiles, évaluer comment les opérateurs pourront se différencier sur leur marché, positionner la plateforme dans les marchés des consommateurs et des entreprises, etc.
08 Juillet 2013 à 20:36

Obtenir le fingerprint SSH de son serveur via Quack1

Pour faire suite à mon article de la semaine dernière sur le crawling récursif d'un site Web avec wget, je note ici la commande permettant de récupérer le fingerprint d'un serveur ssh.

Pour ceux qui voudraient plus d'infos sur SSH, le fingerprinting et le fingerprinting appliqué à SSH, j'ai fait un petit catch-up plus bas dans l'article ;-)

TL;DR; : La commande en question :

# Pour lister les clés publiques du serveur : ls /etc/ssh/*key*.pub # Pour obtenir le fingerprint d'une clé : ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub

 

Détails sur ssh, fingerprint et co...

SSH est le protocole le plus utilisé permettant de se connecter à distance de façon sécurisée sur une machine Unix. D'ailleurs SSH signifie Secure SHell. L'implémentation d'SSH la plus utilisée à ce jour est OpenSSH, présente par défaut sur tous les bons GNU/Linux, ou au moins dans les dépôts officiels des distributions.

Un fingerprint est l'empreinte d'un fichier. En somme, c'est une valeur (généralement une chapine de caractères en hexadécimal) qui permet d'identifier de façon unique le fichier. 2 fichier différents auront 2 empreintes différentes. Dans la pratique, ces empreintes sont calculées avec des mécanismes cryptographiques appelés fonctions de hachage, qui vont "hacher" un fichier pour obtenir son empreinte unique.

SSH fonctionne avec des mécanismes de chiffrement à clés publiques. Quand on se connecte, on récupère la clé publique du serveur pour pouvoir chiffrer les communications (en réalité, on envoie au début de l'échange une clé symétrique, chiffrée avec les clés asymétriques. Le chiffrement symétrique étant beaucoup plus rapide que l'asymétrique). Afin de vérifier qu'on dialogue avec le bon serveur SSH, il est important de vérifier l'empreinte de la clé publique reçue pour voir si on ne s'est pas trompé de serveur (un serveur différent aura des clés différentes, qui auront elles-même des fingerprint différents). Le client OpenSSH fera ça tout seul et vous demandera de vérifier l'empreinte de la clé publique reçue en cas de doute.

Source

08 Juillet 2013 à 20:36

Obtenir le fingerprint SSH de son serveur via Quack1

Pour faire suite à mon article de la semaine dernière sur le crawling récursif d'un site Web avec wget, je note ici la commande permettant de récupérer le fingerprint d'un serveur ssh.

Pour ceux qui voudraient plus d'infos sur SSH, le fingerprinting et le fingerprinting appliqué à SSH, j'ai fait un petit catch-up plus bas dans l'article ;-)

TL;DR; : La commande en question :

# Pour lister les clés publiques du serveur : ls /etc/ssh/*key*.pub # Pour obtenir le fingerprint d'une clé : ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub

 

Détails sur ssh, fingerprint et co...

SSH est le protocole le plus utilisé permettant de se connecter à distance de façon sécurisée sur une machine Unix. D'ailleurs SSH signifie Secure SHell. L'implémentation d'SSH la plus utilisée à ce jour est OpenSSH, présente par défaut sur tous les bons GNU/Linux, ou au moins dans les dépôts officiels des distributions.

Un fingerprint est l'empreinte d'un fichier. En somme, c'est une valeur (généralement une chapine de caractères en hexadécimal) qui permet d'identifier de façon unique le fichier. 2 fichier différents auront 2 empreintes différentes. Dans la pratique, ces empreintes sont calculées avec des mécanismes cryptographiques appelés fonctions de hachage, qui vont "hacher" un fichier pour obtenir son empreinte unique.

SSH fonctionne avec des mécanismes de chiffrement à clés publiques. Quand on se connecte, on récupère la clé publique du serveur pour pouvoir chiffrer les communications (en réalité, on envoie au début de l'échange une clé symétrique, chiffrée avec les clés asymétriques. Le chiffrement symétrique étant beaucoup plus rapide que l'asymétrique). Afin de vérifier qu'on dialogue avec le bon serveur SSH, il est important de vérifier l'empreinte de la clé publique reçue pour voir si on ne s'est pas trompé de serveur (un serveur différent aura des clés différentes, qui auront elles-même des fingerprint différents). Le client OpenSSH fera ça tout seul et vous demandera de vérifier l'empreinte de la clé publique reçue en cas de doute.

Source

logo_pleethebear

Plee l’ours, est un jeu de plateforme dont j’avais déjà parlé ici, il y a deux ans, lors de la sortie de la version 0.6.0 en août 2011.

Les personnages principaux de Plee l'ours.

Les personnages principaux de Plee l’ours.

Alors quoi de neuf, docteur ?

Beaucoup de choses ce sont passées durant l’aventure de Plee. D’abord, l’équipe de développement, qui était à l’origine du jeu, composés de deux étudiants passionnés, codant sur leur temps libre, a évolué en un studio de jeu vidéo indépendant composé de quatre personnes, avec pour ambition de transformer leur jeu, de sympathique démo technique, en un véritable jeu indépendant, libre et complet.

Pour se donner les moyens de leur ambition, l’équipe a alors décidé de mettre en pause le développement de Plee et de travailler sur un tout autre jeu. Ce jeu, sortie en décembre 2012, Andy’s Super Great Park est inspiré d’un mini-jeu, conçu lors de leur participation à un concours, Roller Painting, il réutilise leur moteur de jeu, le bien-nommé Bear Factory. Cette fois-ci, Andy’s Super Great Park est publié sous licence non-libre, avec un binaire disponible sur PC sous Windows et GNU/Linux, en vente sur leur site. Malheureusement, l’absence du jeu sur les principales plateformes de distribution digitale telle que Desura ou Steam auront eu raison de l’engouement suscité au début du projet.

Ça, c’est pas de pot (de miel)! Et après?

Revenu à leur premier amour, l’équipe a décidé de reprendre le développement de Plee et de livrer un jeu libre et complet. La bible et le scénario du jeu ont été mise en ligne, pour les plus curieux, mais afin de préserver l’intrigue, on a choisi chez Geek de France de vous faire ce pitch :

« Votre fils a disparu de la maison en laissant votre réserve de miel vide, ivre de colère, vous partez à sa recherche, mais vous vous rendrez compte au fil de votre expédition punitive que la bêtise de votre fils n’est pas le plus grave dans cette histoire. »

L’univers de Plee se décline en 7 mondes, avec chacun un environnement et des antagonistes distincts. Pour l’instant seul le premier monde, la forêt, déjà jouable dans la version 0.6.0 et la moitié du second monde, le château sont développés. Sur le papier, il est prévu, durant cette aventure, de croiser un bestiaire composé de plus d’une trentaine d’animaux, dont une vingtaine sera hostile à Plee. Il reste donc beaucoup de boulot à faire pour mener à bien ce projet ambitieux.

Nouveau graphisme de Plee l'ours.

Nouveau graphisme de Plee l’ours.

Comment mettre la main à la patte (d’ours)

Pour cela, Stuffomatic a fait appel au soutien de la communauté à travers la toute jeune plateforme de financement participatif Open Funding.

Open Funding est une plateforme de financement participatif de logiciels libres qui permet de financer les évolutions des projets en contribuant financièrement et en suivant leurs progrès. Les projets sont financés fonctionnalité par fonctionnalité, avec un engagement de résultat, pour que les utilisateurs valident à la fin ce qui est développé.

Grâce à ce financement, l’intégralité du jeu sera rendu disponible sur différentes forges, le code sur Github, les graphismes OpenGameArt et la musique et les sons sur Freesound.

Un conc’Ours!

Pour couvrir l’événement un jeu concours a été lancé sur le site Linuxfr.org qui s’est rhabillé au couleur du Plee pour l’occasion. Trouvez, le premier, les 9 pièces de puzzles cachés dans le CSS du site et envoyer leurs URLs à Stuffomatic et vous remporterez un livre des éditions ENI ou Eyrolles.

Si vous voulez soutenir un projet libre, foncez !!

Ray et Grod

Ray et Grod

Liens : L’annonce sur Linuxfr.org et le concours et Le projet sur Open Funding

05 Juillet 2013 à 11:10

Du bannissement des IP sur son serveur... via Quack1

 

En début de semaine, un de mes amis Facebook, ancien camarade de Licence en Informatique, a publié un statut qui m'a un peu fait tiqué. J'ai un temps voulu lui répondre directement, puis j'ai attendu quelques jours en réflechissant plus calmement à ma réponse (toujours faire attention à son esprit d'escalier), et je me suis dit que finalement c'était mieux de faire un billet afin de mettre à plat mon opinion sur le sujet, pour pouvoir écrire un peu plus que sur un simple commentaire Facebook tout en en faisant profiter mes chers lecteurs!

Le statut en question est celui-ci (le gras est de moi) :

Avoir un serveur, c'est passer sa vie à bannir définitivement des IP...

Ce qui m'a géné c'est, comme vous l'avez peut-être deviné, le fait de bannir des IP, au prétexte que l'on détecte des "attaques" provenant de celles-ci.

Je trouve ça assez dérangeant, parce qu'aujourd'hui bannir une IP ne signifie pas bannir une personne en particulier. Cela veut dire bannir tout un foyer, qui sort sur Internet derrière une seule frigoBox. Pire, dans certains pays où les FAI branche plusieurs abonnés derrière un seul gros NAT (et donc derrière la même IP publique), on se retrouve à bloquer tous les abonnés d'un FAI au niveau d'une ville ou d'un quartier. De la même façon, l'adresse IP publique bloquée peut être celle d'un VPN ou d'un noeud de sortie TOR. Comme précédemment, on va potentiellement bloquer de nombreuses personnes n'ayant aucun lien entre elles, et leur interdisant ainsi l'accès à un (ou plusieurs) site(s) Web à cause d'un seul petit rigolo.

Mais bien évidemment, le ban d'adresses IP ne se fait pas par pur plaisir (quoi que, peut être que certains le font :p ). Tout ceci vise à augmenter la sécurité de ses applications Web et serveurs en réduisant le nombre d'attaquants potentiels. Je ne pense pas que ce soit la solution à tous les maux.

Non pas que je souhaite que tous les serveurs se fassent p0wner, mais il y a à mon avis d'autres solutions beaucoup plus propres et sécurisantes. Il y a une solution très simple pour contourner ce blocage : changer d'IP. Et pour cela, les solutions VPN et proxys sont disponibles en grande quantité sur le Net. Et les attaques reprendront sans plus de protection. Et si vous êtes vulnérables, vous vous ferez avoir.

Alors que si votre système et vos logiciels sont correctement patchés et configurés, vous n'aurez rien à craindre et donc pas besoin de bannir des addresses. Pour moi la solution est là. Mettez à jour vos systèmes, vos machines, configurez les correctement et vous n'aurez pas besoin d'avoir peur des attaques ni de bannir des addresses.

 

J'éprouve les mêmes sentiments vis à vis des IPS (ou systèmes de prévention d'intrusions). Basés sur les signatures des activités malveillantes, ils bloquent tout le trafic anormal en laissant passer le trafic autorisé.

Ces techniques donnent une impression de sécurité, puisqu'ils bloquent tout ce qui est connu comme étant une source d'attaques. Sauf que les attaquants trouveront toujours des manières de bypasser les protections, comme changer d'IP ou modifier le payload envoyé lors de l'attaque. Au premier abord on va croire qu'on se protège de tout, alors que pas du tout, et que l'entretien de règles de cette façon est très long, et qu'il peut provoquer des pertes d'accès pour énormément de personnes bien intentionnées et qui ne sont pas concernées par les attaques lancées.

 

En définitive, ne bloquez pas d'IP et ne bloquez pas (à priori) de traffic. Est-ce que les attaques lancées sont vraiment dangereuses ? Est-ce qu'elles peuvent impacter votre image ou la qualité de service ? Si non, laissez tomber et oubliez l'attaque. L'attaquant finira bien par se lasser! Concentrez vous plutôt sur la détection des intrusions.

À quoi bon vouloir bloquer des attaques qui ne fonctionneront pas de toute façon, si vous ne détectez pas les intrusions effectives. Mettez en place des IDS, remontez vos logs, regardez avec précision les activités suspectes qui témoignent des intrusions. Vous serez beaucoup plus efficaces!

Ou au pire, appelez des boîtes qui le font très bien, on a besoin de boulot nous aussi ;-)

05 Juillet 2013 à 11:10

Du bannissement des IP sur son serveur... via Quack1

 

En début de semaine, un de mes amis Facebook, ancien camarade de Licence en Informatique, a publié un statut qui m'a un peu fait tiqué. J'ai un temps voulu lui répondre directement, puis j'ai attendu quelques jours en réflechissant plus calmement à ma réponse (toujours faire attention à son esprit d'escalier), et je me suis dit que finalement c'était mieux de faire un billet afin de mettre à plat mon opinion sur le sujet, pour pouvoir écrire un peu plus que sur un simple commentaire Facebook tout en en faisant profiter mes chers lecteurs!

Le statut en question est celui-ci (le gras est de moi) :

Avoir un serveur, c'est passer sa vie à bannir définitivement des IP...

Ce qui m'a géné c'est, comme vous l'avez peut-être deviné, le fait de bannir des IP, au prétexte que l'on détecte des "attaques" provenant de celles-ci.

Je trouve ça assez dérangeant, parce qu'aujourd'hui bannir une IP ne signifie pas bannir une personne en particulier. Cela veut dire bannir tout un foyer, qui sort sur Internet derrière une seule frigoBox. Pire, dans certains pays où les FAI branche plusieurs abonnés derrière un seul gros NAT (et donc derrière la même IP publique), on se retrouve à bloquer tous les abonnés d'un FAI au niveau d'une ville ou d'un quartier. De la même façon, l'adresse IP publique bloquée peut être celle d'un VPN ou d'un noeud de sortie TOR. Comme précédemment, on va potentiellement bloquer de nombreuses personnes n'ayant aucun lien entre elles, et leur interdisant ainsi l'accès à un (ou plusieurs) site(s) Web à cause d'un seul petit rigolo.

Mais bien évidemment, le ban d'adresses IP ne se fait pas par pur plaisir (quoi que, peut être que certains le font :p ). Tout ceci vise à augmenter la sécurité de ses applications Web et serveurs en réduisant le nombre d'attaquants potentiels. Je ne pense pas que ce soit la solution à tous les maux.

Non pas que je souhaite que tous les serveurs se fassent p0wner, mais il y a à mon avis d'autres solutions beaucoup plus propres et sécurisantes. Il y a une solution très simple pour contourner ce blocage : changer d'IP. Et pour cela, les solutions VPN et proxys sont disponibles en grande quantité sur le Net. Et les attaques reprendront sans plus de protection. Et si vous êtes vulnérables, vous vous ferez avoir.

Alors que si votre système et vos logiciels sont correctement patchés et configurés, vous n'aurez rien à craindre et donc pas besoin de bannir des addresses. Pour moi la solution est là. Mettez à jour vos systèmes, vos machines, configurez les correctement et vous n'aurez pas besoin d'avoir peur des attaques ni de bannir des addresses.

 

J'éprouve les mêmes sentiments vis à vis des IPS (ou systèmes de prévention d'intrusions). Basés sur les signatures des activités malveillantes, ils bloquent tout le trafic anormal en laissant passer le trafic autorisé.

Ces techniques donnent une impression de sécurité, puisqu'ils bloquent tout ce qui est connu comme étant une source d'attaques. Sauf que les attaquants trouveront toujours des manières de bypasser les protections, comme changer d'IP ou modifier le payload envoyé lors de l'attaque. Au premier abord on va croire qu'on se protège de tout, alors que pas du tout, et que l'entretien de règles de cette façon est très long, et qu'il peut provoquer des pertes d'accès pour énormément de personnes bien intentionnées et qui ne sont pas concernées par les attaques lancées.

 

En définitive, ne bloquez pas d'IP et ne bloquez pas (à priori) de traffic. Est-ce que les attaques lancées sont vraiment dangereuses ? Est-ce qu'elles peuvent impacter votre image ou la qualité de service ? Si non, laissez tomber et oubliez l'attaque. L'attaquant finira bien par se lasser! Concentrez vous plutôt sur la détection des intrusions.

À quoi bon vouloir bloquer des attaques qui ne fonctionneront pas de toute façon, si vous ne détectez pas les intrusions effectives. Mettez en place des IDS, remontez vos logs, regardez avec précision les activités suspectes qui témoignent des intrusions. Vous serez beaucoup plus efficaces!

Ou au pire, appelez des boîtes qui le font très bien, on a besoin de boulot nous aussi ;-)

Pages