Déjà pensez que les crackers utilisent que les attaques de l'extérieur est une grosse bétises.
Actuellement 95% des attaques proviennent de l'intérieur. (source : moi !)
Les postes ont des virus type trojan, d'autres virus s'installent ensuite... J'en ai déjà vu des types "semi rootkit" qui masquent les process.... c'est pour dire !
Après c'est pas complexe : tunnel TCP over http ou dns. Et le tunnel est monté, y'a plus qu'a prendre la main sur le pc infecté et péter le cul au serveur membres qui sont délaissés niveau sécu. On obtient le pass admin local, puis d'un admin domain, puis l'administrateur de l'entreprise, puis les backup, puis la PKI, etc...
Bon alors l'intéret d'un IDS ? franchement, moi j'en vois plus tellement l'intérêt. Vu que trop peu d'admin regarde les log, et/ou n'ont pas le temps.
Fautes aux directeurs d'entreprise et PDG de groupe : ils n'investissent pas dans la sécurité, ca sert à rien et c'est cher. (c'est une constatation personnel)
Je suis passé dans de grand groupe Français et de petite PME... AU mieux ya 1 ou 2 personne dédié à la sécurité dans un grand groupe de 30 000 machine. ppffff
bon c'est un autre débat...
Mon conseil actuel :
- mettre un serveur antivirus type Officescan de Trend Micro pour maintenir les postes à jour.
- mettre un Microsoft Windows Security Update Service + GPO forcé et pas de pitié pour les directeurs.
- un firewall type ISA2004 sur une machine en windows 2003
- un firewall type appliance qui gère bien les DDOS et attack bas niveau réseau sur ICMP (et qui se prend pas 50 update de faille de secu par an)
Koj
