1 votes

dubRun avatar

Comment sécuriser un serveur physiquement et le logiciel ?

Demandé el 15 de Décembre, 2009
Quand la question a-t-elle été
587 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous créons une application web qui sera installée sur un serveur et vendue à un client, à l'instar d'un mini appareil de recherche Google. Nous étudions différentes façons de sécuriser le serveur et de protéger la source de l'application. Le client y accédera à partir d'une interface web, comme Google Mini.

Est-ce qu'il y a d'autres idées qui me manquent pour verrouiller tout ça ?

Matériel :

  • Pas de disquette, de CD ROM, de ports USB
  • Détection d'intrusion dans le châssis

Logiciel :

  • Mot de passe du BIOS Mot de passe secret de Windows
  • Certaines parties du code source sont obfusqué
Demandé el 15 de Décembre, 2009 par dubRun

Réponses

Trop de publicités?

3voto

David Spillett avatar
David Spillett Points 22424

Il est impossible de protéger physiquement une machine qui n'est plus sous votre contrôle direct.

Par exemple, la détection d'intrusion par châssis ne vous est utile que si la machine est ouverte alors qu'elle est en marche et connectée au réseau - sinon, comment sauriez-vous que l'événement s'est produit ? Rendre le châssis très difficile à pénétrer serait probablement une solution plus pratique, à moins que vous ne soyez prêt à bricoler quelque chose qui détruise une partie de la machine (probablement le disque dur) si le boîtier est ouvert (ce qui serait sans aucun doute une bonne idée). très coûteux à rechercher et à développer). Par exemple, la plupart des jetons sécurisés utilisés dans le cadre de l'ICP sont conçus pour être étanches à l'air et comportent un élément sur la puce principale qui réagit à l'air de manière à rendre la puce inopérante assez instantanément (vous ne pouvez donc pas ouvrir le porte-clés et essayer de lire les sels cryptographiques stockés sur la puce.

Pour protéger le logiciel, même dans le cas où le disque sur lequel il est stocké est retiré, vous pourriez essayer d'utiliser un système de fichiers chiffré, bien que pour que la chose puisse démarrer avec succès, les clés devraient être stockées sur la machine, donc vous devriez protéger le support qui contient les clés (peut-être avec une protection du type "ouvrez-moi et je détruirai les bits" si possible). Le stockage des clés hors site ne serait pas utile car la machine devrait vous contacter pour obtenir les clés afin de démarrer. Le code qui lui permet de le faire devrait donc être protégé comme s'il s'agissait de la clé (ce qu'il est effectivement).

La sécurité absolue n'est malheureusement pas possible, surtout si vous utilisez des pièces communes plutôt que des pièces conçues sur mesure. todo Une fois que vous vous êtes débarrassé des opportunistes et de quelques nerds un peu plus persistants qui veulent relever le défi, il ne vous reste plus que des personnes déterminées qui finiront par contourner la protection que vous utilisez, quelle qu'elle soit (probablement avec une rapidité affligeante).

Si je me trompe et qu'il existe un remède miracle, ce ne sera pas un remède miracle facilement abordable ! Il peut être intéressant de rechercher ce que des produits spécifiques (comme celui de Google que vous mentionnez) font pour essayer de se protéger et de protéger leur contenu.

Répondu el 15 de Décembre, 2009 par David Spillett (22424 Points )

1voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

D'un point de vue physique, l'Appliance Google Search est no tout ce qui est sécurisé. Je n'entrerai pas dans les détails, ahem.

Compilez le code source lorsque vous le pouvez. En Python, vous pourriez livrer des fichiers .pyc au lieu de fichiers .py, ce qui dissuaderait au moins les intrus occasionnels. Je parie qu'il y a une option quelque part pour compiler le code en quelque chose d'encore mieux.

Cependant, lorsqu'il s'agit de la partie physique, vous êtes un peu impuissant. Coller tout ça ?

Prenons l'exemple de "Détection d'intrusion dans le châssis" : d'accord, une intrusion a été détectée. Et maintenant ? Vous le signalez quelque part ? Difficile à faire si le câble est débranché. Il faut établir une file d'attente dans laquelle l'avis d'intrusion reste en attente jusqu'à ce qu'il soit transmis à votre système domestique.

Allez-vous sortir pour examiner physiquement la machine de temps en temps ? Vous pourriez y apposer un bon vieux sceau de cire. Je ne plaisante pas, peut-être qu'un ruban spécial avec le nom de votre entreprise pourrait faire l'affaire.

Peut-être que l'une des personnes de Make pourrait vous aider à fabriquer, dans un châssis plus grand, une sorte de levier ou de dispositif strictement mécanique qui, lorsque le châssis était ouvert, pressait un très grand aimant (étiqueté "AIMANT ANTI-INTRUSION") sur le disque dur. Le châssis en acier du disque dur rendrait tous les aimants, sauf les plus puissants, moins qu'optimaux. Vous pourriez donc peut-être fabriquer une "fenêtre" pour le châssis de votre disque dur (oui, cela a été fait).

Scénario le plus ridicule : recouvrir le boîtier d'autocollants "AVERTISSEMENT : DESTRUCTION DU DRIVE PAR THERMITE -- VEUILLEZ PLACER LE SERVEUR AU BAS DU RACK".

Répondu el 15 de Décembre, 2009 par Utilisateur non enregistré (0 Points )

1voto

hookenz avatar
hookenz Points 13952

Avez-vous pensé à utiliser un système de fichiers cryptés ?

Mais je me demande si vous avez bien réfléchi à tout cela. Les serveurs tombent en panne. Vous ne voudriez pas détruire les données d'un client à cause d'une panne de ventilateur, par exemple en ouvrant le boîtier et en perdant tout.

La difficulté que vous auriez à protéger votre propriété intellectuelle risque de détruire la réputation de votre entreprise. Il serait préférable de rendre la tâche assez difficile (c'est-à-dire DURE), mais pas impossible.

Errm, et l'heure d'été ?

Répondu el 16 de Décembre, 2009 par hookenz (13952 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X