Coup de gueule de la semaine : Sécurité des équipements réseaux
En attendant que j'aie finie le premier cours réseau, il faudra ce contenter de mon coup de gueule de la semaine : La Sécurité des équipements réseaux
Je travail dans les télécoms depuis un petit moment, et étant un psychotique de la sécurité j'ai participé au développement de la règle du : tu laisse ta session de ton pc ouvert et tu sort du bureau, vaut mieux être blindé car tu paye les croissants demain matin à tous le service, et si tu ne comprend pas car tu laisse encore ta session ouverte, le lendemain on invite de plus en plus de services.
Bref, tout cela pour dire que quand je regarde la conf de routeurs et switches de beaucoup de personnes maintenant ca me fait peur (ca n'arrive pas chez nous car on vérifie quand même).
Voilà mon top 10 des conneries de sécurité que j'ai déjà vu (et vois encore) :
- Login/pass toujours à cisco/cisco
- Serveur HTTP/HTTPS pas désactivé (sans compter les autres services tels que pad, x25, dhcp, small services)
- pas de mot de passe sur le port console & auxiliaire
- communauté SNMP : public ou private (ou pire le nom de la boite)
- pas d'ACL sur les telnet/ssh
- pas d'ACL sur les requêtes SNMP
- des ports non utilisées mais pas shut ou avec de la conf dedans (genre un trunk)
- pas de filtrage des annonces BPDU des clients
- non désactivations du CDP vers les ports clients
- absence d'un MOTD ( pour moi et beaucoup d'autres ca veut dire entrez c'est ouvert)
Et vous c'est quoi votre top 10 des conneries de sécurité que vous avez déjà vu sur les équipements réseaux (si vous en avez plus que 10, n'hésitez pas 
)
Delicious
Commentaires
Salut,
Je viens de tomber par hasard sur ton blog (pas mal du tout au passage
)
C'est vrai que ce Top 10 me fait bien sourire,
Par contre je vois souvent la ligne "no service-pad" dans les conf des équipements, mais je vois pas du tout à quoi ca correspond...Aurais-tu une idée ?
@+
bonjour,
je travaille dans la videosurveillance, vu l essor du marche je dois m adapter et opter de plus en plus vers les solutions ip .
je ne m en sors pas trop mal, cependant je rencontre souveut deux soucis que je resouds plus ou moins : vitesse de transmission de donees video plus signal de commande de domes motorisés: faire passer le flux des commandes d orientation sur un ou des autres ports que le flux video ( par exemple un port pour flux rx un pour tx un pour images ....)
et existe t il une gamme de routeur un peu specifique a ce genre d utilisation
bref etant chef d entreprise je dois apprendre "sur le tas" et ce un peu la misere notemment sur des install "multi sites" ou je dois avoir genre un serveur de stockage et un serveur de renvoi de flux video sur des poste d un reseau local...ceci sur 4 ou 5 sites differents parfois ..
ip fixe de mise ou plutot dynamique donc serveur dns ?
lol ouai je sais y plein de trucs mais quelque tuyaux seraient bienvenu.. merci d'avance
@greg c'est en effet un marché assez intéressant.
Au sujet du routeur, tout dépend réellement du débit prévus, du type de liaisons, etc.. beaucoup de dépendance.
Pour ce qui concernant l'adressage IP, il est fortement recommandé d'avoir une IP fixe, car même vous utilisez un serveur dns avec une maj type dyndns, il y aura toujours un moment de coupure de service entre le moment ou vous changerez d'IP et le moment ou les DNS sont à jours pour tous le monde.
N'hésitez pas à me contacter directement si vous souhaitez en discuter.
Johan