|
PROFESSIONAL NEWSGROUPS
WINDEV, WEBDEV and WINDEV Mobile |
| | | | | |
| Started by Seb, Oct., 12 2005 12:53 PM - 29 replies |
| |
| | | |
|
| |
Posted on October, 12 2005 - 12:53 PM |
Bonjour,
j'aimerai developper une application avec une base HF C/S située sur une serveur internet. PCSOFT me dit qu'il n'y a pas de problème, mais l'entreprise chez qui je loue mon serveur dédié me dit que cela pose un problème de sécurité dans le sens où l'on est obligé d'ouvrir un port. Ils m'ont proposé de le faire en vpn mais pour les utilisateurs et la gestion des comptes cela est impossible.
Donc voilà pour le moment je suis bloqué, donc si quelqu'un à réussi à contourner le problème je serai interessé.
Merci |
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 3:31 PM |
trouve un hébergeur moins frileux...
ouvrir un port ne permet pas de faire n'importe quoi sur la machine
concernée...
tout dépend de l'appli qui écoute sur ce port...
et que je sache ils ouvrent bien le port 80 pour un site web... parce qu'ils
font confiance
à apache ou autre serveur web qui tourne 
tu peux aussi trouver des sociétés qui louent des machines complets
connectées à internet
avec des garanties de disponibilités et cie... ce n'est pas forcément hors
de prix et tu peux
y installer ce que tu veux...
bon courage !
"Seb" <webmaster@46west.com> a écrit dans le message de news:
434cd63f$1@news.pcsoft.fr...
Bonjour,
j'aimerai developper une application avec une base HF C/S située sur une
serveur internet. PCSOFT me dit qu'il n'y a pas de problème, mais
l'entreprise chez qui je loue mon serveur dédié me dit que cela pose un
problème de sécurité dans le sens où l'on est obligé d'ouvrir un port. Ils
m'ont proposé de le faire en vpn mais pour les utilisateurs et la gestion
des comptes cela est impossible.
Donc voilà pour le moment je suis bloqué, donc si quelqu'un à réussi à
contourner le problème je serai interessé.
Merci
|
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 3:33 PM |
merci pour ta réponse, mais ce qui me dit mon "hébergeur" c'est qu'il y a des pirates qui scannent les port pour savoir s'il y en a d'ouverts et que donc à partir de là la sécurité de mon serveur n'est plus du tout assuré.
pour ce qui est du port 80 je me posais la question justement de savoir quelle était la différence... |
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 4:21 PM |
Désolé mais la réponse de "sebnews" est inexacte à tout point de vue.
- les données ne transitent absolument pas en clair sur le réseau,
- ouvrir un port n'est pas une faille de sécurité SAUF si vous permettez depuis l'extérieur de changer le programme qui écoute sur ce port (autrement dit si vous donnez une controle total sur le serveur) !
A+ |
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 4:58 PM |
merci de vos réponses mais cela prouve bien que tout cela n'est pas clair et que les avis sont partagés.
Dans mon cas je voudrais juste ouvrir un port pour acceder à la base de données HF C/S et non pour avoir le controle totale de la machine. Mais il y a t'il un risque que quelqu'un de mal intentionné rentre dans cette base et efface toutes les données ou simplement les modifie... |
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 5:06 PM |
Non il n'y a pas aucun risque !
Sauf si tu laisses l'utilisateur "admin" sans mot de passe !
Quelqu'un qui "trouverait" l'adresse du serveur pourrait tenter de s'y connecter avec un programme WINDEV !
Mais à partir d'un moment ou la connexion est sécurisée avec la gestion des utilisateurs, aucune connexion indélicate au moteur n'est possible !
A+ |
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 5:55 PM |
"Seb" <webmaster@46west.com> a écrit dans le message de
news:434cfbd0$1@news.pcsoft.fr...
merci pour ta réponse, mais ce qui me dit mon "hébergeur" c'est qu'il y a
des pirates qui scannent les port pour savoir s'il y en a d'ouverts et que
donc à partir de là la sécurité de mon serveur n'est plus du tout assuré.
> pour ce qui est du port 80 je me posais la question justement de savoir
quelle était la différence...
Bonjour,
ton henergeur n'as pas tort surtout si tu poses les données sur le même
serveur
- tes données transitent en clair sur le réseau Internet entre ton poste
client et le serveur
- un port est ouvert et donc c'est une faille en terme de sécurité des
données
Pour les serveurs Web il me sembles qu'ils sont sur une DMZ et que les
serveurs
de données ne sont pas sur ce même serveur.
Sébastien |
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 6:07 PM |
J'ai justement fait des tests avec Ethereal et je n'ai rien vu de compréhensible !
Mes données sont cryptées.
VPN c'est autre chose, la demande originale est un accès via Internet.
Ca ne constitue pas une faille de sécurité d'ouvrir un port sur un serveur, du moment que l'on maîtrise ce qui écoute ce port.
A+ |
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 7:55 PM |
Désolé mais la réponse de "sebnews" est inexacte à tout point de vue.
- les données ne transitent absolument pas en clair sur le réseau,
- ouvrir un port n'est pas une faille de sécurité SAUF si vous permettez
depuis l'extérieur de changer le programme qui écoute sur ce port (autrement
dit si vous donnez une controle total sur le serveur) !
Pardon ?
> - les données ne transitent absolument pas en clair sur le réseau,
Quand le client fait une requête sur le Serveur de Base de données C/S,
ce serveur renvoie bien les données au client.
Entre le serveur et le client, les données transitent bien.
Il suffit pour cela de faire un test sur le réseau local
avec un analyseur de trame.
- ouvrir un port n'est pas une faille de sécurité SAUF si vous permettez
depuis l'extérieur de changer le programme qui écoute sur ce port (autrement
dit si vous donnez une controle total sur le serveur) !
Dans ce cas là à quoi sert le VPN (hors cryptage des données) sinon
à réaliser un Tunnel.
Sébastien |
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 8:04 PM |
- les données ne transitent absolument pas en clair sur le réseau,
Quand le client fait une requête sur le Serveur de Base de données C/S, ce serveur renvoie bien les données au client. Entre le serveur et le client, les données transitent bien. Il suffit pour cela de faire un test sur le réseau local avec un analyseur de trame.
enfin je doute que les données soient toutes en clair et quand bien meme...
- ouvrir un port n'est pas une faille de sécurité SAUF si vous permettez
depuis l'extérieur de changer le programme qui écoute sur ce port (autrement dit si vous donnez une controle total sur le serveur) ! Dans ce cas là à quoi sert le VPN (hors cryptage des données) sinon à réaliser un Tunnel.
un vpn permet de simuler que les deux extrémités du vpn sont dans le meme
réseau local |
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 9:32 PM |
Bonsoir,
"LB" <no@spam.com> writes:
Non il n'y a pas aucun risque ! Sauf si tu laisses l'utilisateur
"admin" sans mot de passe !
Quelqu'un qui "trouverait" l'adresse du serveur pourrait tenter de s'y
connecter avec un programme WINDEV !
Mais à partir d'un moment ou la connexion est sécurisée avec la
gestion des utilisateurs, aucune connexion indélicate au moteur n'est
possible !
A+
le risque de mettre HF C/S sur un serveur d'un prestataire Internet,
n'est pas de connaître le mot de passe de l'admin mais de mettre à
plat tout son système.
Après ce n'est pas vraiment son problème si un type crack ton mot de
passe pour avoir un accès sur hf (sauf si le moteur HF permet de faire
des actions du type load data sur le serveur).
Peut on paramétrer le moteur HF, afin qu'il n'accepte pas plus de X
tentatives de connexions etc... Quelles sont les règles à mettre pour
un IDS...
Aujourd'hui, sauf erreur HF C/S sous linux fonctionne en root, ce qui
est en soi une faille de sécurité.
Bref pour la sécurité de la connexion c'est probablement une des
raisons pour lesquelles il te propose la mise en place d'un VPN
sachant qu'il a les compétences de sécuriser le VPN.
De plus si ton service HF est planté il faut bien que tu puisses le redémarrer?
--
suivre ce lien pour répondre:
http://cerbermail.com/…
Daniel
|
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 9:54 PM |
"LB" <no@spam.com> writes:
J'ai justement fait des tests avec Ethereal et je n'ai rien vu de
compréhensible !
c'est pas parceque tu n'as rien vu de compréhensible, que çà l'est
> Mes données sont cryptées.
dans ce cas effectivement.
VPN c'est autre chose, la demande originale est un accès via Internet.
Ca ne constitue pas une faille de sécurité d'ouvrir un port sur un
serveur
Ah bon, bien sure qu'ouvrir un port sur un serveur constitue un risque
potentiel de créer une faille de sécurité.
D'après toi pourquoi il y a des worms qui utilisent les ports ouverts
pour infecter les machines.
--
suivre ce lien pour répondre:
http://cerbermail.com/…
Daniel
|
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 11:30 PM |
Aujourd'hui, sauf erreur HF C/S sous linux fonctionne en root, ce qui
est en soi une faille de sécurité.
mantamanager fonctionne en root ( pour pouvoir installer, arreter, démarrer les service HF ).
Mais il me semble que le deamon Hyper File (manta) n'a pas besoin de fonctionner en tant que root. Il faut seulement que ce programme est le droit d'ecrire dans les fichiers de la base et d'ouvrir un port ( avec un port supérieur à 1024 (par ex 4900) cela ne devrait pas poser de problème ).
Donc en lançant uniquement le deamon HF et pas le manager (qui est optionnel ), on peut fonctionner sans root. |
| |
| |
| | | |
|
| | |
| |
Posted on October, 12 2005 - 11:34 PM |
Pour ne pas avoir les données en clair sur le réseau, il faut utiliser une connexion crypté :
- soit en cochant crypté dans la description de la connexion dans l'editeur d'analyse
- en passant la chaine "Cryptage=RAPIDE" dans les infos de la connection ( voir la doc de HOuvreConnexion ) |
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 9:45 AM |
merci à tous pour vos réponses, mais cela confirme ce que je pensais : tout le monde n'est pas daccord
J'avoues que du coup je ne sais plus trop quoi penser. Si on doit mettre HF C/S sur notre serveur dédié et qu'il y a un risque pour que notre serveur soit attaqué alors il me parait difficile de develloper une application Windev avec base de données sur le net, contrairement à ce que dit pcsoft. Bref tant qu'il n'y aura pas de réponse précise et sûre je vais m'abstenir..
Encore une fois merci à tous d'avoir répondu. |
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 10:02 AM |
Je ne comprends pas tes remarques. Que ton serveur soit celui de PC SOFT ou non, dans TOUS les cas, si tu veux accéder à un serveur de données depuis l'internet tu dois ouvrir un port. cela n'a strictement aucun rapport avec PC SOFT.
Apres, bien sur qu'il y a un gestion des droits et de cryptage de données à faire, confere message de LB. Pour plus d'infos, tu peux certainement voir aupres de l'administrateur de ton reseau.
Que cette ouverture de port sur le PC ne te plaise pas, j'en convient, mais ne dit pas que c'est lié à HF CS car c'est pareil avec SQL Server, Oracle ou autre...
Philippe
http://windev.freedev.free.fr/ |
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 10:21 AM |
Bonjour,
Il y a tout ici http://www.kalanda.net/
Patrick
"Seb" <webmaster@46west.com> a écrit dans le message de news:
434cd63f$1@news.pcsoft.fr...
Bonjour,
j'aimerai developper une application avec une base HF C/S située sur une
serveur internet. PCSOFT me dit qu'il n'y a pas de problème, mais
l'entreprise chez qui je loue mon serveur dédié me dit que cela pose un
problème de sécurité dans le sens où l'on est obligé d'ouvrir un port. Ils
m'ont proposé de le faire en vpn mais pour les utilisateurs et la gestion
des comptes cela est impossible.
Donc voilà pour le moment je suis bloqué, donc si quelqu'un à réussi à
contourner le problème je serai interessé.
Merci
|
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 10:41 AM |
"kelvin Condor" <ckelvin@nospam.ifrance.com> writes:
Aujourd'hui, sauf erreur HF C/S sous linux fonctionne en root, ce qui
est en soi une faille de sécurité.
mantamanager fonctionne en root ( pour pouvoir installer, arreter, démarrer les service HF ). Mais il me semble que le deamon Hyper File (manta) n'a pas besoin de fonctionner en tant que root. Il faut seulement que ce programme est le droit d'ecrire dans les fichiers de la base et d'ouvrir un port ( avec un port supérieur à 1024 (par ex 4900) cela ne devrait pas poser de problème ).
si tu fais la procédure d'installation le daemon fonctionne sous
root. J'ai fait le test avec l'archive qu'on télécharge sur le site de
PCSoft il y a 3-4 mois.
Pour en avoir la certitude tu regardes les processs, et également
aucun utilisateur/groupe n'est créé.
Donc en lançant uniquement le deamon HF et pas le manager (qui est
optionnel ), on peut fonctionner sans root.
--
suivre ce lien pour répondre:
http://cerbermail.com/…
Daniel
|
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 11:03 AM |
"kelvin Condor" <ckelvin@nospam.ifrance.com> a écrit dans le message de
news:434d6c64$1@news.pcsoft.fr...
> Pour ne pas avoir les données en clair sur le réseau, il faut utiliser une
connexion crypté :
- soit en cochant crypté dans la description de la connexion dans
l'editeur d'analyse
> - en passant la chaine "Cryptage=RAPIDE" dans les infos de la connection
( voir la doc de HOuvreConnexion )
Au fait c'est la connexion qui est cryptée ou les données qui transitent ???
Si ce sont les données cela veut dire ( corrigé moi si je me trompe )
( en cochant cette option de cryptage )
- Les données sont cryptées dans la base de données HF C/S
- Le Client demande des données au serveur HF C/S
- Le Serveur HF C/S renvoie des données CRYPTEES (???) au client ?
- Le Client décrypte ces données ?
Ce qui veut dire que le client doit être obligatoirement développé avec
Windev
pour attaquer une base HF C/S ??? ( Sinon pas de décryptage possible ?)
Alors c'est la connexion qui est cryptée ou les données ?
Avec votre analyseur de trame vous ne voyez pas passer vos login et mot de
passe FTP ?
Pour l'ouverture des Ports sur les routeurs, parlez en à vos administrateurs
réseaux.
Sébastien |
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 11:52 AM |
non je ne m'en prends pas à pcsoft en disant que les autres bases ne posent pas le problème, je sais très bien que c'est le cas aussi pour les autres bases de données (enfin je l'ai appris en même temps que le problème avec HF C/S), je dis simplement que lors des présentations commerciales de pcsoft ils ne precisent pas ce problème de sécurité, et que l'on croit que c'est super simple et sans problème, et que dès que l'on téléphone aux hébergeurs ils nous disent qu'ils peuvent nous ouvrir le port mais qu'il y a un gros risque. Les réponses montrent bien que tout le monde est un peu dans le floue et que c'est dommage que pcsoft n'en parle pas, et qu'ils ne donnent pas les précautions à prendre pour le maximum de sécurité tout en sachant que sur internet effectivement une sécurité 100% n'existe pas....
J'ai bien compris que l'ouverture d'un port pose un problème, maintenant je voudrais savoir jusqu'à quel point ... La base de donnée ca je peux en faire une sauvegarde tous les jours pas de problème, par contre si la personne peut mettre un bazard complet sur tout le serveur, que ce soit au niveau des mails, des noms de domaines et des sites ou carremment mettre mon serveur HS, là ca me pose un réel problème. |
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 11:54 AM |
La CNIL ? à quelle niveau interviendrait elle ? |
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 11:54 AM |
> merci à tous pour vos réponses, mais cela confirme ce que je pensais :
tout le monde n'est pas daccord
J'avoues que du coup je ne sais plus trop quoi penser. Si on doit mettre
HF C/S sur notre serveur dédié et qu'il y a un risque pour que notre serveur
soit attaqué alors il me parait difficile de develloper une application
Windev avec base de données sur le net, contrairement à ce que dit pcsoft.
Bref tant qu'il n'y aura pas de réponse précise et sûre je vais m'abstenir..
> Encore une fois merci à tous d'avoir répondu.
Voir aussi tout simplement du coté de la CNIL en
fonction des données mises à disposition dans ta base de données.
Sébastien |
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 12:10 PM |
> Que cette ouverture de port sur le PC ne te plaise pas, j'en convient,
mais ne dit pas que c'est lié à HF CS car c'est pareil avec SQL Server,
Oracle ou autre...
Tout à fait exact, mais c'était une question :
- les données sont elle cryptées entre le serveur HF C/S et le client
( contrairement à Mysql etc. ) ?
Sébastien |
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 12:46 PM |
ah ok pardon je croyait que tu parlais sécurité et je ne voyais pas le rapport |
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 1:49 PM |
Bonjour,
Une réponse précise :
Tout d'abord, pour faire transiter des données entre un poste client et un
poste serveur via TCP/IP, il faut ouvrir un port. Ca c'est une évidence,
sans canal de communication, pas de communication possible. Ce n'est donc
pas spécifique à Hyper File, c'est pareil pour toutes les bases de données.
Concernant Hyper File, par défaut il y a deux ports qui doivent être ouverts
:
- Le port 5002 pour ManataManager : Celui-ci permet de lister les
serveurs Hyper File installés et de les démarrer et arrêter à distance.
MantaManager n'est pas obligatoire pour l'accès aux données. Vous pouvez
donc ne pas ouvrir ce port et ne pas utiliser MantaManager à distance.
- Le port choisit par vous pour votre base de donnée. C'est un port
spécifique utilisé uniquement par Hyper File. Le serveur Hyper File étant le
seul module à l'écoute de ce port.
Concernant le cryptage, il faut distinguer deux choses, le cryptage des
données qui transitent et le cryptage des données stockées :
- Vous pouvez choisir de stocker vos données sous forme cryptée ou
non. Il suffit de l'indiquer dans l'analyse et d'utiliser la commande
HPasse() à la création des fichiers.
- Vous pouvez et cela est fortement conseillé choisir de crypter
les données qui transitent sur Internet. Il suffit d'ajouter dans les infos
étendues de connexion : CRYPTAGE=RAPIDE ou CRYPTAGE=RC5_16.
Concernant les daemon Hyper File, il y a là aussi deux aspects différentes :
- MantaManager utilise root mais comme pour la gestion des ports,
ce service n'est pas obligatoire. Vous pouvez donc killer le process
matamanager.
- Le serveur Hyper File est également root par défaut mais vous
pouvez en modifiant le script \etc\init.d\Serveur Hyper File. Créez un
utilisateur spécifique, donnez lui les droits de lecture et exécution sur le
répertoire du serveur Hyper File et les droits de lecture et écriture sur le
répertoire des DATA.
Pour conclure :
Est-ce qu'une base de données Hyper File sur Internet peut être une faille
de sécurité Importante pour le serveur la réponse est : NON.
Est-ce que mes données seront protégées sur le serveur et pendant le
transit, la réponse est : OUI.
--
Ed en Ligne
"Seb" <webmaster@46west.com> a écrit dans le message de news:
434dfbb8$1@news.pcsoft.fr...
merci à tous pour vos réponses, mais cela confirme ce que je pensais : tout le monde n'est pas daccord J'avoues que du coup je ne sais plus trop quoi penser. Si on doit mettre HF C/S sur notre serveur dédié et qu'il y a un risque pour que notre serveur soit attaqué alors il me parait difficile de develloper une application Windev avec base de données sur le net, contrairement à ce que dit pcsoft. Bref tant qu'il n'y aura pas de réponse précise et sûre je vais m'abstenir.. Encore une fois merci à tous d'avoir répondu. |
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 2:03 PM |
La CNIL ? à quelle niveau interviendrait elle ?
A partir du moment ou l'on stocke des données personnelles
sur informatique , il faut faire une déclaration à la CNIL.
Cette déclaration est fonction du type de données et de l'activité de ton
client.
Par exemple il est formellement interdit de stocker un N° de Sécu si
l'entreprise
n'a pas une activité médicale.
La Précision en dessous d'Ed en Ligne du support répond
à la question posée : il est possible de crypter les données qui
transitent entre le serveur HF C/S et le client.
C'est la réponse à ta question.
Sébastien |
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 3:19 PM |
moi je crois surtout qu'il y a une grosse parano sur l'ouverture des
ports...
ouvrir un port netbios c'est suicidaire c'est sûr mais le port d'une appli
"peu courante" comme HF C/S faut arreter....
"Seb" <webmaster@46west.com> a écrit dans le message de news:
434e1962$1@news.pcsoft.fr...
non je ne m'en prends pas à pcsoft en disant que les autres bases ne
posent pas le problème, je sais très bien que c'est le cas aussi pour les
autres bases de données (enfin je l'ai appris en même temps que le
problème avec HF C/S), je dis simplement que lors des présentations
commerciales de pcsoft ils ne precisent pas ce problème de sécurité, et
que l'on croit que c'est super simple et sans problème, et que dès que
l'on téléphone aux hébergeurs ils nous disent qu'ils peuvent nous ouvrir
le port mais qu'il y a un gros risque. Les réponses montrent bien que tout
le monde est un peu dans le floue et que c'est dommage que pcsoft n'en
parle pas, et qu'ils ne donnent pas les précautions à prendre pour le
maximum de sécurité tout en sachant que sur internet effectivement une
sécurité 100% n'existe pas....
J'ai bien compris que l'ouverture d'un port pose un problème, maintenant
je voudrais savoir jusqu'à quel point ... La base de donnée ca je peux en
faire une sauvegarde tous les jours pas de problème, par contre si la
personne peut mettre un bazard complet sur tout le serveur, que ce soit au
niveau des mails, des noms de domaines et des sites ou carremment mettre
mon serveur HS, là ca me pose un réel problème.
|
| |
| |
| | | |
|
| | |
| |
Posted on October, 13 2005 - 5:02 PM |
Eh B2.... on en apprend des choses en lisant ce forum...
Je relirai tout ça plus tard et au calme, avant je passe chez le pharmacien pour prévoir de l'aspirine.
Si d'autres ont des avis continuez... mais ne m'en veuillez pas si je tarde à répondre.
Faut que je dissèque d'abord
Bon Dév |
| |
| |
| | | |
|
| | |
| |
Posted on October, 14 2005 - 4:04 AM |
Cette question il faut la posée directement à pcsoft !
1) le risque encourus par l'ouverture d'un port dépend à 100% du programme que écoute sur ce port
2) donc le fait d'ouvrir le port du serveur HF sur Internet expose le serveur au failles de sécuritée du serveur HF, idem ouvrir le port 80 pour apache expose ton serveur aux failles que l'on trouve dans apache.
Comme le code du serveur HF est fermé (ppriétaire) on ne connair pas beaucoups les failles de sécurités, ce qui peut-être également une chances.
Le fait que des grand contes comme porche, Banque populaire, etc... utilise windev doit nous tenté à faire croire que le serveur est relativement bien sécurisé.
On ne parle pas nonplus de windev et de sons serveur HF dans les forums de sécutrité.
Je pense que l'on peux facilement et avec bonne concience ouvrir ce port.
Donc change de provideur, un qui connais un peux son travail et qui ne te répond pas des anerie comme "pour des résons de sécurité ...".
S'il te répond dans le genre "parcequ'il y as tel ou tel faille de sécurité dans tel aplication je ne fait pas ça" Là c'est OK il fait son job sinon ...
Marcel Heiniger
www.mhi.ch |
| |
| |
| | | |
|
| | |
| |
Posted on October, 14 2005 - 4:35 AM |
Ah bon, bien sure qu'ouvrir un port sur un serveur constitue un risque
potentiel de créer une faille de sécurité.
D'après toi pourquoi il y a des worms qui utilisent les ports ouverts
pour infecter les machines.
Le ports ouverts N'EST PAS la faille de sécurité. C'est comme dans un chateau fort, un port coresspond à un élémant des rampart.
si derière cet élément il y as un cannon la sécurité est bonne
si derière c'est parcontre juste une porte en bois pourie c'est par là que les assaillant vont entré la porte.
Faut dire à ton fournisseur que s'il veux faire une forteresse comme celle de Vauban (bellefort & Besançon) qui n'on jamais été envaillie, il doit faire les manips suivantes.
- désactiver tous les scripts sur le serveur comme php,ASP,perl plus de 50% des failles de sécuritée seront donc bouchée.
- désactiver apache,IIS je lis min 1x/mois des nouvelles failles de sécus.
- désactiver le FTP le clients pourais faire rentre un virus,un vert, un rootkit, ...
- retirer le système dexploitations comme Winows(1 des plus grand virus), linux
- Retirer les cables réseau, sans cable réseau plus de ports ouvert et aucun assaillant ne viendra par le réseau.
- éteindre le serveur, il pourais y avoir une attaque par surtention.
- mettre le serveur dans un coffre fort.
- mettre le coffre dans une cage de faradey qui elle est dans un abris atomique.
ah joubliais faut encore faire une copie de sauvegarge, un disque ne vis qeu env. 20-25 ans et faire en sorte que lui connaissant l'accés soit falcher par un norolisatieur des MIB
La je crois qu'il aura bien fait sons travail et sécurisé son serveur !
Mais à quelle prix plus personne du tous n'auras accès à ca forteresse!!!
Vous aurez surement compris que je plaiusantais et que j'allais dans les extrèmes.
Notre boulot d'administrateur c'est de rendre services à nos clients.
S'il on besoin douvrir un port pour tel ou tel aplication on le fait, si on connais pas bien l'api, on la met dans un espace schrooter et on fait notre boulot on surveille et on limite les dégat. |
| |
| |
| | | |
|
| | | | |
| | |
| | |
| |
|
|
|