... ça dépend de ce qu'on entend par "protéger". Protéger quoi (la machine ou le service/l'applicatif qui tourne dessus), protéger contre quoi (intrusion, déni de service, attaque applicative, ...) ?
Une bonne solution l'est dans le cadre d'un contexte bien précis...
Un firewall peut être la réponse dans certains cas, mais ne protège pas contre toutes les attaques (quand on remonte bien dans l'applicatif), voire pénaliser dans d'autres cas (j'ai des souvenirs où, sur un DDOS, le service protégé par un firewall avait sauté par saturation du FW, alors que le service d'à côté, qui se contentait d'un load-balancer, en niveau 4, continuait à tourner comme si de rien n'était - le firewall était pourtant une appliance haut de gamme d'une marque plus que connue).
Un load-balancer peut répondre à certaines problématiques, un firewall applicatif (appliance ou module type mod_security) répond à d'autres, l'extension suhosin (dans le cas de PHP) gère certains problèmes, et pour encore d'autres (la plupart ?) la seule solution consiste à virer le développeur.
Dans mon contexte à moi, je cible un risque plutôt applicatif, et on développe en interne, donc : framework web incluant une couche de sécurité sérieuse (dont une protection contre CSRF) + suhosin (on fait du PHP) + un reverse proxy + que des développeurs fiables (à priori). Pas de firewall, mais un load-balancer décent si les moyens le permettent.
Si c'est pour protéger une boite noire contre toutes les attaques possibles et imaginables, +1 pour la poudre verte (perso, je passerai à 30g, voir 50g les nuits de pleine lune). Et ne pas oublier de déréférencer totalement le site web de Google, de plus en plus de vers se basent sur Google pour déterminer leurs cibles.
JFB
Le 4 avr. 2012 à 16:49, Julien Escario a écrit :
Le 04/04/2012 14:40, cam.lafit@azerttyu.net a écrit :
Bonjour à tous
Je profite du grand calme sur cette liste pour poser cette bête question : Que faîtes vous pour protéger au mieux vos machines fournissant du http ?
J'ai mis une appliance firewall, peu importe la marque, que j'arrose régulièrement de poudre verte. La dose recommandée est de 20g/mois, je pousse à 25 comme ça mes CMS sont patchés automatiquement aussi.
Plus sérieusement, que répondre à ça à part 'ça dépend' ?
Bonne journée,
Julien Escario escario@azylog.net Tél. : +33.972115242
Azylog 5 Rte de Champagnole F-39300 Les Nans
Liste de diffusion du FRsAG http://www.frsag.org/