Bonjour, jm'appelle Eric et chui étudiant en 2 ème année de DUT Services et Réseaux de communication ( en gros je fais de la programmation, du rézo, du multimédia et de la com... ).
 
Si je fais appel à vous c'est ke cette année en projet tutoré je réalise l'intranet de notre IUT et ke ki dis intranet dis sécurité surout ke cet intranet sera accesible de facon sécurisé (login + password) depuis le net.
 
Cet intranet tournera sous Win 2000 Server avec IIS, avec une base Access et de l'ASP.
 
Voilà, j'ai feuillete kelkes ouvrages et kelkes sites sur la sécurité... ms rien de passionnant.
 
Pour bien faire il faudrait ke j'essaye de pirater moi-meme mon serveur afin de mieux comprendre le processus et pouvoir y trouver des parades!
 
Donc je cherche kelkun soit ki puisse soit :
 
. Me mettre un lien vers un site (ou un boukin) explikant comment pirater (en fra de préférence).
 
ou
 
. Ke je puisse joindre au tél ou sur un chat vocal style MSN ou ICQ afin de m'expliquer en live les rudiments du piratage.
 
ou
 
. Ki soit sur le campus de Marne-La-Vallée (Champs-Sur-Marne) et a ki je puisse payer un café afin kil m'explik cela directement!
 
Voilà sinon des ke l'intranet sera opérationel (novembre), jvous donnerai le lien et vous tenterai de le pirater et de me conseiller pour corriger le tir.
 
En attendant y me fo de l'aide voilà.
 
Si de gentils hackers peuvent m'aidez ce serait géniale!
 
Eric

petite précision :  
aucun lien vers un site de piratage sera posté ici

Demandes a un de tes profs  
 
kaltan

 
il est mal barré la!

ça se voit ke tu connais po les profs des facs toi!
 
LA REPONSE DES PROFS A N'IMPORTE KELLE QUESTION EST :
 
"VOUS N'AVEZ KA CHERCHER UN PEU VOUS MEME!!!"
 
Nan, je parodie un peu... ms sérieusement j'ai besoin de votre aide car ce projet compte pour 1/4 de ma note totale de l'année

Roco a écrit a écrit : ça se voit ke tu connais po les profs des facs toi!   LA REPONSE DES PROFS A N'IMPORTE KELLE QUESTION EST :   "VOUS N'AVEZ KA CHERCHER UN PEU VOUS MEME!!!"   Nan, je parodie un peu... ms sérieusement j'ai besoin de votre aide car ce projet compte pour 1/4 de ma note totale de l'année

 
Je suis étudiant comme toi mais pas en 2éme année mais en 5éme mais bon je ne me suis jamais fait jeté par un prof surtout si on le demande conseil
 
kaltan

puté si tu veux vérifi si tu peut déja y acceder par une simple adresse IP (   vaudrait mieux si tu veux pas qu'il y ai le moindre p'tit con qui vien fouiller ) cherche un prog qui bloque les port d'entré (y'a des cons qui rrépertorient leurs sites sur voila etc...)et tout ce qui te passe sou la main.
commence par ça

Faudrait chercher un peu mais normalement IIS c'est blinde de failles de secu. Y a une societe d'audit qui a reussi a rentrer dessus a partir d'un 98...

tu n'as qu'a nous donner l'ip de ton serveur, on va tester nous même.
 
C'est honnête comme proposition ?

alors je répéte celui-ci sera opérationel en novembre (un intranet c très long à mettre en place, ya tout le front office a réaliser aussi, pour l'instant on intégre seulement la maquette de la page d'accueil, on est 4 ds la team)
 
Et moi kom chui chargé de IIS et de la sécu (heu c cho la sécu j'y connais rien...)!
 
Evidemment des kil sera opérationel je metterai l'IP et jme servirai meme de vos tentavies d'intrusion et de vos conseils pdt ma soutenance...
 
Ms pour l'instant j'ai vraiment besoin d'un hardcore hacker pour me briffer!

hardcore hacker    
 
commence par te renseigner sur ce que sont les buffer overflows, les extensions isapi et les bugs qui en découlent.
Commence par feuilleter les sites qui traitent de sécu en matière d'iis (securityfocus.com par ex), télécharge iis secure etc...

et les dos (denie of service) aussi  

denial

ouh la c och le truc que tu veux faire !  
 
deja ! commence par faire un firewall fiable car IIS ! on sait jamais ! et apres tu luis colle un serveur IIS ou meme apache un truc en Freelance koi !  
 
j ai le meme projet que toi mais c est pas pour mon iut mais plutot ma boite alors si tu peux tient moi au courant  
moi je suis plutot rezo  
 
Sinon tu es a l iut de Champs-sur-Marne ? tu es dans la classe de HA ?    
 
tient moi au courant

HA fo ke tu précise là jvois po trop ki c ...

si tu n'as pas déjà ce bouquin
 
halte aux hackers, éditions oem
j'arrête la pub, je suis pas là pour ça    
 
sinon roco, mail ou icq
 

aller jlaisse mon mail (chui taré) pour kon me glisse des liens plus ou moins recommandables... c vrai ke c dangereux de les mettre sur un forum, j'avais po réfléchie...
 
Précision, jveux de l'aide po des virus
 
Merci à tous pour vos conseils jviens d'activer mes recherches!
 
eric.ledonge@free.fr

bah si c'est sous IIS 5.0 pense a patcher
 
Et ne donne pas des passwords tout con genre abc123
 
Ne laisse pas de port ouvert sur ton serveur, ou des services dont tu n'as pas l'utilité
 
Voila, et puis surveille les news tous les jours pour te tenir au courrant des failles de securités de IIS ou Win2000 ou (Linux et Unix) y  a des failles partout

en fait HA c les innitaile d un pote qui etait de la promo de lannee derniere  
donc desole !  
 
 
tient moi au courant de ton projet ca l air intessant

Pour le piratage, va sur les news et sélectionne toutes les rubriques paralnt de hacker.
Crée une adresse mail sur n'importe quel site gratuit et poste tes messages.  
Il y a 2 ans,j'avais reçu de cette manière tous les renseignements sur les programmes de prise de contrôle via Internet. Comme technicien en demandant de l'aide sur une adresse (pour les défences) et comme gamin de merde demandant de l'aide pour pirater l'ordinateur de l'école (pour les programmes de prise de controle). Dans les news, y a pas, les gamins faut qu'ils expliquent

sur nt + iis !
gare au unicode

Sinon un site pour tester ton tes ports. Ca te servira surment plus tard mais il y a aussi des dossiers interessants :  
https://grc.com/

salut
 
si tu veux des infos sur le piratage tu peux faire un tour sur mon site (+ haut).
 
c pas le must mais juste C 1 site d'informations, y a pas de technic ni rien mais kelkes définitions c tout.
 
(fo cliker sur les petits triangles pr développer les menus  )
 
voilà  

Bon pour ton serveur Web, tu auras quelques impératifs :
 
1) le sécuriser du réseau intérieur (à moins d'avoir une confiance aveugle sur la "gentillesse" des autres étudiants pour laisser tranquile ton serveur )
2) le sécuriser du réseau extérieur (la ca semble tomber sous le sens)
3) effectuer la mainteance et le patcher contre des vulnérabilités qui seraient découvertes.
 
 
Donc commencons par quelques remarques :
 
a) isoler ton serveur le plus possible, c'est à dire qu'il faut :
- le placer derrière un firewall (pas un soft que tu installe à même ton serveur, mais une autre machine ou mieux un firewall "hardware" ), définir des règles très restrictives d'accès à ton serveur via ton firewall (si possible seulements les ports 80 (HTTP) et 443 (HTTPS)). Le firewall détectera habituellement des attaques DOS, SYN FLOOD et PING OF THE DEATH et empêchera ton serveur d'être "ennuyé" par ces types d'attaques. Regarde pour un modèle avec DMZ (Sonicwall, ...)
- ne pas autoriser d'administration à distance (sauf si tes règles sont bien définies pour autoriser que certains postes avec un accès physique restreint)
- ne pas mettre ton serveur IIS dans le même domaine que l'ordi du campus (si tu as besoin de login + pass qui sont déjà situé sur un autre domaine de ton campus, effectue une relation d'approbation avec l'autre domaine, c'est à mon avis plus souple comme méthode)
 
b) protéger ton serveur contre les "oreilles" indiscretes. Si tu utilise un serveur HTTP standard les logins et mots de passe vont transiter en clair sur le réseau ; n'importe qui capable d'intercépter les paquets aura toutes ces informations. Pour remédier à ce problème il faut utiliser un serveur ou les données sont cryptées. Le standard actuellement est SSL avec un clef de 128 bits et donc tu utiliseras de préférence le protocole HTTPS avec un certificat si possible reconnus par un organisme tiers (verisign, etc...), il est toutefois possible de monter ton propre serveur de clef / certificats avec Windows 2000 Advanced Server.
 
c) protéger ton serveur contre les vulnérabilités connues et mettre à jour continuellement ton serveur, c'est à dire :
- patcher ton serveur contre les vulnérabilités connues en placant le dernier service pack
- s'inscrire à la mailing list de sécurité pour être tenu au courant des mises à jours et vulnérabilités patchées ( http://www.microsoft.com/security/ et d'autres sites) et aller faire régulièrement un tour sur technet n'est pas une mauvaise idée.
- Utiliser HFNetChk ( http://www.microsoft.com/technet/s [...] netchk.asp ) pour verifier les patchs installés.
- posséder un anti-virus adéquat (Norton Corporate Edition, etc) de telle sorte que tu puisse détecter un éventuel troyen, et ceci à plus forte raison si tes utilisateurs peuvent uploader des fichiers via leur browser.
- éventuellement installer un logiciel capable de détecter du traffic louche (certains espionnent le traffic réseau, d'autres anaylsent les logs d'IIS en temps réel, ...)
- les comptes administratifs doivent avoir des noms bien choisi (évite de laisser "administrator" ou "administrateur", renomme ce compte), mais surtout des mots de passes bien choisis (9 caractères minimum avec lettres + chiffres + caractères spéciaux)
 
Voila comme il n'existe pas qu'une seule solution, je ne t'en conseillerait aucune et je te laisserait chercher (c'est un vaste sujet avec sans arrêt de nouveaux produits)... juste une dernière remarque : le premier trou de sécurité c'est tes utilisateurs (alors ne néglige pas l'information auprès de ces derniers, y compris ce qui peut leur arriver si ils essaient de outrepasser leurs droits) !

[edtdd]--Message édité par Requin--[/edtdd]

Si jamais un site de référence sur la sécurité  
 
www.sans.org
 
c'est en anglais, mais c'est une vrai mine d'information pour tout ce qui touche a la sécurité.
 
Bonne chance !