Discussion :

[ched78]

Bonjour,
Je souhaiterais savoir si des vulnérabilités existent sur les ports suivants avec les applications suivantes a l'écoute. Tous les autres ports sont bloqués par un pare-feu matériel.

Dans le cas ou des vulnérabilités existent, comment les bloquer ?
Le serveur est sous Mac OS X Server, toutes les mises a jour sont faites.
J'ai installé Fail2ban, je l'ai correctement configuré, mais je ne sais pas s'il est actif.
J'ai une IP Fixe, ce qui rajoute un risque…
J'ai aussi modifié le fichier pf.conf

	Port interne	Port externe	Protocole
FTP Data	20	20	TCP
FTP	21	21	TCP
SSH	22	22	TCP
HTTP	80	80	TCP
L2TP	500,1701,4500	500,1701,4500	TCP/UDP
AFP	548	548	TCP
EyeTV	2170	2170	TCP/UDP
Apple Remote Desktop	3283,5900	3283,5900	TCP
OpenVPN	53,443,943	53,443,943	TCP/UDP

Merci de votre aide.

[Escapetiger]

Je souhaiterais savoir si des vulnérabilités existent sur les ports suivants avec les applications suivantes a l'écoute. Tous les autres ports sont bloqués par un pare-feu matériel.

Dans le cas ou des vulnérabilités existent, comment les bloquer ?

Bonjour,

Tout d'abord, à moins d'avoir un problème de pare-feu, tu ne devrais plus utiliser le protocle FTP qui est remplacé par SFTP (S pour Secure, préconisé par Apple, cf. doc Security Configuration Guide plus loin).

Pour les vulnérabilités, je te joins quelques liens trouvés chez Apple :

- Mises à jour de sécurité Apple
http://support.apple.com/kb/HT1222?viewlocale=fr_FR

- Ports TCP et UDP connus utilisés par les produits logiciels Apple
http://support.apple.com/kb/TS1629?viewlocale=fr_FR

Je te conseille de lire également à partir de la page 185 du guide Mac OS X Server Security Configuration Guide (j'ai pris la dernière version, Mac OS X v10.6 (Snow Leopard), les autres sont disponibles,
le chapÎtre Securing Remote Access Services qui traite entre autres de SSH et de VPN.

- Security Configuration Guides
https://ssl.apple.com/support/security/guides

Enfin, je ne sais pas avec Mac OS X Server s'il est possible d'automatiser, comme chez Debian par exemple, les mises à jour de sécurité; je laisse le soin à mes collègues de te répondre sur ce point.

[ched78]

Bonjour,
Merci pour ces infos
J'ai oublié de préciser que les mises a jour de sécurités (et toutes les autres) se font automatiquement, et que j'utilise la derniere version disponible de OS X Server : 10.9.4.
Concernant le FTP, j'utilise ce protocole car il est + simple a mettre en place pour les clients sous Windows XP. Les fichiers sur le FTP sont peu importants. Ce qui m'inquiète, c'est que par exemple un pirate parvienne a acceder au FTP, mais qu'a partir de la, il accède a tous les fichiers de l'ordinateur y compris dans des dossiers non partagés/privés etc… C'est surtout ca que j'aimerais comprendre.
De même, si par exemple le service L2TP est compromis, est-ce que le pirate peut facilement avoir accès a tous les fichiers ?
Les mots de passes sont tous différents pour chaque service, et respectent les normes anti brute force (au moins 8 chars, chiffres, lettres, maj, min et symboles), mais est-ce qu'il y a d'autres moyens que le brute force qui pourrait mettre en danger la sécurité du serveur ?

Je vais regarder le pdf Server_Security_Config d'Apple pour voir si ca peut m'aider sur certains points.

[gangsoleil]

Concernant le FTP, j'utilise ce protocole car il est + simple a mettre en place pour les clients sous Windows XP. Les fichiers sur le FTP sont peu importants. Ce qui m'inquiète, c'est que par exemple un pirate parvienne a acceder au FTP, mais qu'a partir de la, il accède a tous les fichiers de l'ordinateur y compris dans des dossiers non partagés/privés etc…

C'est plus simple à mettre en place, mais moins sécurisé. Et les craintes que tu as sur un protocole peu sécurisé ne sont pas dénuées de sens.

Les mots de passes sont tous différents pour chaque service, et respectent les normes anti brute force (au moins 8 chars, chiffres, lettres, maj, min et symboles), mais est-ce qu'il y a d'autres moyens que le brute force qui pourrait mettre en danger la sécurité du serveur ?

Je vais être brutal, mais ça ne sert à rien. Imagine que tu sois un pirate qui veuille brute-forcer des mots de passe. Tu vas donc te faire une liste, contentant 1234, password, etc... mais tu vas aussi appliquer les "algorithmes de remplacement" bateau que tous les gens appliquent : remplacer E par 3, S par $, min/maj, etc...
Faut arréter de croire que Pa$$w0rD (le 0 est un zéro) est plus sécurisé que password, il n'en est absolument rien. Et si tu ne me crois pas, lis cet article de l'une des sommités de la sécurité.