• STATISTIQUES
  • Il y a eu un total de 0 membres et 28023 visiteurs sur le site dans les dernières 24h pour un total de 28 023 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] Infomirmo
    Challenge présenté sous la forme de 6 niveaux de difficultés diverses et variées avec chacun plusieurs chall...
    Challenges
    [EN] Hack This Site
    Hack This Site est considéré comme un réel terrain d'entraînement légal pour le...
    Hacking
    [FR] NewbieContest
    Nous vous proposons une série de challenges regroupant plusieurs domaines allant de l'exploitation de fail...
    Hacking
    [EN] wechall
    Pour les gens n'étant pas familiers avec les sites de challenges, un site de challenges est un site propos...
    Hacking
    [FR] WeChall
    Audio: 3, Coding: 11, Cracking: 9, Crypto: 18, Encoding: 11, Exploit: 44, Forensics: 1, Fun: 6, HTTP: 6, Image: 8, Java:...
    Challenges
    [EN] Listbrain Version 3
    Site proposant 66 challenges présentés dans une liste mélangée.
    Challenges
    [FR] Zenk-Security
    La communauté zenk-security a pour objet principal la sécurité informatique, nous sommes des tou...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Politique de Logging
19-08-2013, 02h15 (Modification du message : 19-08-2013, 02h18 par InstinctHack.)
Message : #1
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
Politique de Logging
Io,

Un point important dans la vie d'un serveur : les log.
Ils représentent la totalité de l'activité de l'ordinateur, mais voilà comment sécuriser les logs si votre machine venais à ếtre pirater ?

certains disent qu'il est possible d'authentifier les log pour les stocker sur une autre machine en étant à peu près sûr qu'ils sont véritables.
d'autres disent qu'il faut tous logger.
d'autre encore qu'il serais possible de remplir le HDD.
et les sadiques (autoH1 && cc MacYavel) imaginent des softs pour mettre de la merde dans les log.

voilà, c'est un sujet pour débattre sur les logs et leur sécurité, alors venez troller avec nous =D
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (1) -1 (0) Répondre
19-08-2013, 03h06 (Modification du message : 19-08-2013, 03h09 par notfound.)
Message : #2
notfound Hors ligne
#!/usr/bin/env bash
*



Messages : 687
Sujets : 47
Points: 271
Inscription : Sep 2012
RE: Politique de Logging
La discution sur IRC étant terminée, elle peut continuer ici. Donc n'hésitez pas à partager vos idées.

Le sujet, en gros, est : Comment prouver l'authenticité d'une donnée (ici des logs) provenant d'une machine infectée ? car l'idée était de stocker les logs sur un HDD disponible sur une 2e machine du LAN.

Ceci étant dit, il est aussi possible de proposer d'autres idées pour le stockage des logs. En local, la question a déjà été soulevée, et un attaquant pouvait rm ou polluer. Sur le web (pastebin d'après khaled) le service pourrait être down. Et via les mails, qui semble être une alternative satisfaisante.
+1 (0) -1 (0) Répondre
19-08-2013, 03h11
Message : #3
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Politique de Logging
Citation :Comment prouver l'authenticité d'une donnée (ici des logs) provenant d'une machine infectée ?
Impossible. Par définition.
On peux tous au plus compliquer la tache à l'attaquant. (m'enfin, là on serais à un niveau au dessus du sk moyen :') et meme du pentester moyen </troll> )

Citation :Sur le web (pastebin d'après khaled) le service pourrait être down.
Sauf que la redondance est possible et que la disponibilité de ce genre de service est relativement élévé.

Citation :Et via les mails, qui semble être une alternative satisfaisante.
Les MTA c'est chiant à configurer :> (pour ma très maigre expérience)
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre
19-08-2013, 09h00 (Modification du message : 19-08-2013, 09h00 par Jek0.)
Message : #4
Jek0 Hors ligne
Regular Everyday Normal Mazafaka
*



Messages : 113
Sujets : 5
Points: 40
Inscription : Jul 2013
RE: Politique de Logging
La sécurisation des logs c'est avant tout la sécurisation de ton réseau, donc potentiellement si ta machine est infectée, les logs générés par cette même machine seront compromis.

Après derrière ça, certaines boites font en sorte de mettre en place un réseau juste pour le log management, mais c'est pas vraiment le cas de tous le monde, ça permet pas de check l’authenticité de tes logs, mais ça évite qu'ils soit compromis pendant le transit et/ou qu'une machine compromise balance de (trop) de la merde.

Btw, j'vais balancer ma doc fonctionnelle sur les logs que j'ai pondu pour mon mémoire d'ici fin aout début septembre.
Pour finir un mail avec panache :
Cordialement,
Va donc te reproduire avec ta propre ethnie, enfant malpropre de fille de joie,
[Insert-Your-Name-Here]
Si vous ne comprenez pas, traduisez dans le langage "2 la téci tavu".
+1 (0) -1 (0) Répondre
19-08-2013, 09h02
Message : #5
0pc0deFR
Non-enregistré



 
RE: Politique de Logging
De mon point de vu, ça dépend ce que l'on souhaite récupérer des logs. Si l'on veut une preuve d'intrusion, l'attaquant qui va s'introduire dans le serveur ne pourra dans un premier temps pas supprimer/modifier les logs (jusqu'à élévation de privilège). Ces premières informations qui peuvent prouver l'intrusion peuvent donc être considérées comme sûr. Maintenant, si ce qu'on veut c'est la preuve d'un maintien d'accès frauduleux sur le serveur, là c'est déjà plus compliqué effectivement car cela implique que l'intrus est déjà dans la machine et qui plus est, bien installé sur cette dernière. Comme dit plus haut, dans ce cas, l'idée est de compliquer la tache à l'intrus mais rien ne peut être sûr. Reste les logs réseaux (routeurs, firewalls, switchs, etc) qui peuvent démontrer qu'un machine est compromise mais qui ne démontreras pas comment.

Pour ce qui est des MTA c'est assez chiant, c'est sûr mais ça ce fait. Le plus simple à mon gout c'est de stocker ça sur un serveur de sauvegardes sur le réseau (ou deux si vous avez peur de la dispo).
positive (0) negative (0) Répondre
19-08-2013, 11h37
Message : #6
Jek0 Hors ligne
Regular Everyday Normal Mazafaka
*



Messages : 113
Sujets : 5
Points: 40
Inscription : Jul 2013
RE: Politique de Logging
Sinon y'a moyen d'avoir un résumé viteuf de la discussion irc (les truc utiles pas les troll sur le sujet :p) ?
Pour finir un mail avec panache :
Cordialement,
Va donc te reproduire avec ta propre ethnie, enfant malpropre de fille de joie,
[Insert-Your-Name-Here]
Si vous ne comprenez pas, traduisez dans le langage "2 la téci tavu".
+1 (0) -1 (0) Répondre
19-08-2013, 14h39 (Modification du message : 19-08-2013, 14h40 par notfound.)
Message : #7
notfound Hors ligne
#!/usr/bin/env bash
*



Messages : 687
Sujets : 47
Points: 271
Inscription : Sep 2012
RE: Politique de Logging
Voici un bout de la discussion sur IRC :

http://n-pn.fr/5007773101

Et il n'y a eu aucun troll ! Et oui, on sait aussi être sérieux et constructif.
+1 (1) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut