La sécurité sera ici abordée essentiellement coté réseau avec IPS/IDS et instruments de contrôle des flux réseaux.
En effet la plupart des "ennuis" et autres "malwares" arrivent par le réseau, sans parler de virus permettant d'installer des portes dérobées et autres joyeusetés, phishing ....
Il import donc de limiter au maximum les possibilités "d'entrée" dans votre réseau. Si vous disposez de plusieurs machines connectées sur un réseau interne vous utilisez probablement une machine W... il faut donc impérativement interdire l'accès à tous les ports relatifs aux partages depuis "l'extérieur", un bon Firewall, si possible placé sur une machine agissant en tant que pont vers Internet permet d"éviter d'ouvrir ce genre de portes aux méchants qui se cachent lâchement ... derrière des FAI laxistes.
Un bon contrôle supplémentaire n'est pas inutile et certains outils permettent de "jeter un oeil" sur ce qui passe dans les tuyaux et/ou de bloquer de vilaines choses.
- IPS/IDS : Suricata
- Suivi des flux réseau : Ntopng
- IPSET
- NFtables
- OSSEC, suivi des logs
- Apache modsecurity2
- Trois listes d'adresses IP "douteuses" ou franchement "agressives", ces listes sont régulièrement mises à jour et comprennent à ce jour environ 10000 adresses IP pour les attaques génériques (SSH, Web, Scan de ports) et plus de 27000 adresses pour une liste plus orientée "Windows". La petite dernière est obtenue par analyse des logs de "Modsec" et concerne principalement les accès web "à problème", elle comporte environ 1320 rangs, les "vilains méchants" y restent environ 120 jours après leurs méfaits (s'ils ne récidivent pas !).
Pour plus de détails vous pouvez consulter la page "Mesures; monitoring" qui présente plus en détails cette problématique.
