[hywiel]

Voici ce que j'ai trouvé via Nikto, après avoir vu que http://alsace.ecologie.gouv.fr/ avait été défacé aujourd'hui.

[quote:271e71102f]- Nikto v2.1.0/2.1.0
---------------------------------------------------------------------------
+ Target IP: 160.92.130.72
+ Target Hostname: alsace.ecologie.gouv.fr
+ Target Port: 80
+ Start Time: 2009-12-29 15:11:36
---------------------------------------------------------------------------
+ Server: Apache/1.3.37 (Unix) PHP/4.3.11
[/quote:271e71102f]

Le gouvernement francais, ou du moins les employés et dev', ne seraient ils pas un peu "en retard", ou y aurait-il des raisons pour que cela soit volontaire?

[Manu404]

Souvent, les entreprises, les administrations, etc ont des applications développer pour eux. Ces applications sont souvent très spécifiques et sont dépendante d'autres services, par exemple, un serveur http comme apache. de plus, une migration n'est pas toujours possible/réalisable ce qui donne des situations par fois irréaliste.
Par exemple : une société trsè connue (caterpillar), a son usine européenne principale a charleroi (près de chez moi) et je connais des admins de la bas. Ils ont des machines qui ont des fois 20 ans, piloter par ordinateur, conçue a leurs demande et qui coutent extrêmement chère. Récemment, ils ont dus migrer une vielle machine piloter par un serveur sous NT4 (oui, oui, du néenderthal technology), le re-développement de l'application de l'application est chiffré a 1 million d'€, sont implémentation et configuration aurait causer une perte de production de 3jours... Donc pas de migrations, solution, ils ont, avec VmWare Esx Infrastructure "pomper" la machine a la chaud pour en faire une Vm tournant désormais dans leur datacenter, on peux faire du clustering ce qui diminue les risque de perte de service, mais le serveur est toujours du NT4 ^^
Voila pourquoi il n'est pas rare de trouver de "vieux" serveurs

[Manu404]

Je rajouterais, Les serveurs Web externes, se trouvent normalement dans une DMZ, la DMZ étant la stratégie de politique de securité la plus basique et facile a mettre en place. De ce fait, en imaginant que un perssonne prennent un acces root sur le serveur, ce dernier est de toute façon cloisonné du LAN voir, si l'administrateur a bien fait son boulot, des autres machines de la DMZ via des VLAN, des règles de firewall et un routage correcte. De plus, combien peux couter la securisation d'un serveur ? Il faut compter le temp a le securiser, le materiel necessaire (au moin un appliance firewall, juniper est sympa a ce niveau, et un routeur, cisco, pas le choix c'est la référence et on comprend pourquoi), de la redondance pour eviter la perte de service via un cluster par exemple, etc, etc Tout cela a un prix. Ensuite on se pose la question, si on prend le controle du serveur, quel sera le prix dans le cas ou il est "detruit" ? Il y a-t-il des informations confidentiels ? (dans une DMZ j'espère que non) quel peut-être le risque pour le reste de l'infrastructure ? combien de temp faudra-t-il pour le remonter ?
Au final, dans le cas d'un serveur web publique, la balance penche souvent du coté, on fait un DMZ + VLan et c'est ok. Il n'y a pas de données confidentiel dessus, il est isolé, et en cas de crash, il y a des backup (pas toujours, mais bon, il y a des inconcients), le serveur pouvant être remonter en 1 H+/- pour un cout dérisoire. La perte de service n'est pas forcément importante (un site ministeriel est souvent informatif, son buisness ne repose pas dessus, contrairement a un site de vente en ligne ou la, le risque est enorme et donc un cluster avec au moins 3machines est presque indispenssable + du load balancing si il est fort visiter) ^^

[hywiel]

(merci des précisions)
Donc, si leur machine vient à être hackée, ils n'en ont pas grand chose à faire, en gros?
La DMZ leur sert de "cloison", un peu comme une machine virtuelle, malgré le fait qu'elle serve de liaison entre l'intranet et l'internet?

[Manu404]

[quote:f5736db2da]malgré le fait qu'elle serve de liaison entre l'intranet et [/quote:f5736db2da]
Oo Houla, je pensse que tu as un soucis concernant la definition d'une DMZ
La DMZ d'un reseau n'est en rien la gateway !!!!!!!
Voila un exemple de topologie de reeau classique incluent un zone de securité classique, la DMZ; La DMZ est un reseau a part au même titre que le LAN. La seul chose qui différe c'est qu'elle est accesible de l'exterieur.
[img:f5736db2da]http://techrepublic.com.com/i/tr/cms/contentPics/5756029-DMZ-overview-B.gif[/img:f5736db2da]
Imaginons que sur ce shemas, les trois serveurs correspondent a un SMTP Relay type Brightmail, un serveur dns publique (pour la zone monsite.com) et un serveur WEB.
Il n'y a q'une ip publique 10.10.15.200 par exemple.
Le Firewall en facade (qui fait office de routeur également) a 3 interfaces, une en 10.10.15.200/32, l'ip publique, un en 192.168.1.0/24 pour le lan et un en 172.16.100.0/30 pour la DMZ, dans ce cas-ci, il n'y a pas de VLAN, les trois machines sont dans le même subnet. De l'exterieur, si on veux se rendre sur le site web www.monsite.be, on fiat un résolution DNS classique (cache, host, root, etc, etc,) une fois renvoyer par le serveur authoritatif .be vers 10.10.15.200 pour contacter le serveur authoritatif pour la zone monsite.be onfait donc un requête dns sur 10.10.15.200 port 52, le firewall fait du DNAT/SNAT (Source NAT et Destination NAT) afin de forwarder la requête vers le serveur DNS de la DMZ, le serveur DNS de la DMZ, 172.16.100.1, renvoi la reponse au firewall, qui refait un DNAT/SNAT afin de répondre a notre machine, ensuite notre browser se connectera sur le port 80 ou 443 du serveur Web dans la DMZ de la même manière que pour la requête DNS, firewall DNAT/SNAT, forward etc, etc.
Les gens dans le lan, les employées par exemple, request vers l'exterieur, peuvent passer par un proxy qui sera la Gateway su Lan et forwardera tout au firewall. Voila en gros comment fonctionne basiquement une DMZ