NAC : Gestion de portables en entreprise, réseaux de quarantaine - Sécurité - Windows & Software
Marsh Posté le 11-10-2005 à 11:20:53
Ce que tu peux faire, c'est créer carrément un réseau à part et tu places un firewall entre tes 2 réseaux et n'autorise que ce que tu veux (web, mail par exemple).
Après, il faut bien que tu configure les postes pour qu'ils se mettent à jour automatiquement leur base antivirale, patchs, etc...
Marsh Posté le 11-10-2005 à 11:28:12
Disons que ce n'est pas une solution qui me convient pour plusieurs raisons :
- certains des portables doivent avoir accès à des serveurs de dev, donc les mettre sur un reseau a part n'est pas possible
- si les portables sont vérolés, le firewall n'empechera pas forcement la propagation du virus
A l'heure actuelle, mes postes fixes sont mis à jour automatiquement : windows/office par WSUS, l'antivirus par un serveur antivirus qui s'occupe de déployer les mises à jour (Norton Corpo 9.0).
Pour un portable, on peut imaginer qu'il soit en déplacement pendant 2 semaines. En allant sur d'autres réseaux il peut tres bien attraper le dernier virus, sa base n'étant plus mise à jour. Et là en revenant dans l'entreprise, c'est la cata
Marsh Posté le 11-10-2005 à 11:34:32
Tes 2 raisons peuvent très bien être controllées.
Déjà pour ta 2ème raison, tu as tort (le firewall bloquera bien le virus SI IL EST BIEN CONFIGURE), et pour la première solution, tu n'a qu'à ouvrir les ports de connexion aux serveurs de DEV.
Après, C sûr que sur le même réseau (celui des portables), si magrès ton antivirus et le firewall intégré un virus s'est imicé, il pourra se mettre de portable en portable mais bon, tu pourra réagir et c'est certain que ton firewall aura empécher l'accès (tu le verra bien dans els logs)
Marsh Posté le 11-10-2005 à 11:41:38
Je ne vois pas comment un firewall pourrait empêcher par exemple l'envois d'un virus par mail ?
Marsh Posté le 11-10-2005 à 12:02:25
non, mais attend, tu as en interne un serveur de messagerie sur ton LAN?
Marsh Posté le 11-10-2005 à 12:04:41
Oui, mais par contre rien ne me dit que les utilisateurs de portable n'utiliseront pas des comptes mails perso par exemple.
Marsh Posté le 11-10-2005 à 12:08:54
Mais s'ils envoient un mail à ton autre réseau, ça passera donc par ton serveur de messagerie qui bloquera le virus (ou spam)....je vois vraiment pas ce qui te tracasse avec ma solution là?
Marsh Posté le 11-10-2005 à 12:12:41
Hum, bon prenons un autre exemple :
-il faut que j'ouvre l'accès aux serveurs SQL à mes portables, donc le port TCP X (me souvient plus de tête). Tout va bien.
Un portable part en déplacement. Plus de mises à jour de l'antivirus. Il sort alors un nouveau virus qui exploite une faille de SQL Server non corrigée actuellement. Mon portable, pas de chance, attrape ce virus.
Il rentre à l'entreprise, se connecte. Le temps que l'antivirus se mette à jour, mon serveur SQL est déjà vérolé, le firewall n'a rien vu.
Tu vois ou je veux en venir ?
Marsh Posté le 11-10-2005 à 12:24:20
Jette un oeil la dessus
http://www.hpl.hp.com/techreports/ [...] 4-188.html
On peut completer ce type de strategie, notamment en remplacant le FW de XP par une solution de FW payante a gestion centralisee (qui peut donner des rules immediates) .
Au branchement d'un nouvel host sur le reseau, le serveur central detectant par le biais du client que ce dernier ne repond pas aux standards de patch par ex, peut se voir immediatement exclu du reseau, ou simplement isolé dans un subnet special, avec seulement un acces restreint aux ressources (celle necessaire aux infos de remediation par ex)
Marsh Posté le 11-10-2005 à 12:35:34
ReplyMarsh Posté le 11-10-2005 à 12:47:49
Merci pour tes liens. Le document d'HP est assez excelent à lire, la façon dont ils ont contré Blaster est relativement marrante, mais inapplicable dans mon cas (en fait ils ont utilisé la faillé utilisée par Blaster pour appliquer le patch, ce qui implique un suivi constant des alertes de sécurité, et un dev rapide d'une solution).
La solution proposée par Sygate à l'air interessante. L'utilises-tu en entreprise ? Car j'aimerai bien avoir des utilisateurs de solutions telles que celle-ci, pour faire le bon choix. Malheureusement je ne trouve pas de rapport objectifs comparant plusieurs solutions entre elles
Marsh Posté le 11-10-2005 à 12:49:28
yop petou
si vous etes accroc a la secu commence par virer norton
sinon tu peut toujours parametrer la mise a jour de l'antivirus de maniere individuel, de cette facon des que le portable se retrouve connecté au net, il mettra a jour sa base antiviral
Marsh Posté le 11-10-2005 à 12:56:05
Non le Pastek ! Jle crois pas Ca va bien ?
Sinon Norton est très bien, je sais qu'il n'est pas à la mode mais franchement je n'ai rien a lui reprocher.
Concernant l'anti virus, si le portable n'a pas d'accès au net pendant ces déplacement, le problème est le même
Marsh Posté le 11-10-2005 à 13:00:10
Pour norton, faut juste utiliser les bonnes versions...
Une Corporate bien configuré (en mode managé) n'a rien a voir avec une version grand public
Idem pour les solutions de countermesaure et de FW managé.
Un seul hic : le cout global de developpement et deploiement......
Marsh Posté le 11-10-2005 à 13:33:37
Salut, si on parle de virus, c'est que le portable depuis qu'il est sorti de l'entreprise est allé sur le net.
Donc pourquoi ne pas mettre à jour l'antivirus à distance.
C'est ce que je fais avec mes nomades et Officescan.
Pareil, tu actives les mises à jour auto de Windows et tout est protégé.
Seb
Marsh Posté le 11-10-2005 à 14:04:35
Bon on va faire plus simple : je souhaite mettre en place une solution de mise en quarantaine provisoire lorsqu'un PC se connecte à mon LAN d'entreprise. Pendant cette quarantaine, un serveur va vérifier l'intégrité de ce poste (mises à jours, scan anti virus). Si tout va bien, il sera alors autorisé à rejoindre le réseau.
Avez-vous déjà mis en place de telles solutions ?
Marsh Posté le 11-10-2005 à 14:30:46
Regarde du cote de Sygate Secure Enterprise et Sygate Entreprise Protection; c'est typiquement le genre de solution dans ton cas de figure.
Sinon il y a toujours possibilite de completer ca au niveau des login scripts d'un ActiveDirectory, mais c'est un peu plus contraignant.
Marsh Posté le 11-10-2005 à 15:43:05
petoulachi a écrit : Hum, bon prenons un autre exemple : |
Oui mais tes portables n'ont pas SQL server d'installé donc ils ne seront pas vulnérables et ne pourront pas infecter le reste de ton reseau
Je crois que tu psychotes un peu trop J'ai une 15aine de portables dans mon parc, une bonne gestion de ton antivirus (serveur de redistribution quand ils sont en interne ET serveur ftp de l'editeur pour les MAJ de sign quand ils sont a l'extérieur) et du pare feu des portables suffisent dans la plupart des cas.
Apres tout est question de budget, si tu l'as, eclate toi avec des solutions comme Sygate.
La solution du pare feu me parait la moins onéreuse (fiable a 95%). Meme Slammer qui utilisait une faille SQL aurait pu etre stoppé avec une bonne gestion du pare feu car il utilisait le port 1434 et non 1433
Marsh Posté le 11-10-2005 à 16:22:55
Et puis si t'es si parano que ça, tu bloque les droits des machines pour qu'ils puissent rien installer ni configurer...
Et si t'as encore vraiment les boules, bah tu met un firewall, ce que tu cherches là, C un truc qui va te couter bonbon pour pas forcemment de meilleurs performances..
Marsh Posté le 11-10-2005 à 16:42:53
Jovial a écrit : Regarde du cote de Sygate Secure Enterprise et Sygate Entreprise Protection; c'est typiquement le genre de solution dans ton cas de figure. |
J'ai regardé mais le site n'est malheureusement pas très bavard sur ces solutions (d'ailleurs il faut maintenant à priori regarder uniquement du côté de Sygate Entreprise Protection, qui est le successeur de Sygate Secure Enterprise). Aucune idée non plus sur le prix des licences
Quich'Man a écrit : Oui mais tes portables n'ont pas SQL server d'installé donc ils ne seront pas vulnérables et ne pourront pas infecter le reste de ton reseau |
Je sais que le couple firewall + antivirus permet de pallier à 95% des risques. M'enfin on m'a demandé quelque chose de béton et je n'ai pas envie d'être pris en défaut. Je trouve le concept du NAC relativement novateur et efficace. De plus, son utilité est plus qu'interessante lorsque notre entreprise accueil des visiteurs équipés de leur portable !
Veloci_RaptoR a écrit : Et puis si t'es si parano que ça, tu bloque les droits des machines pour qu'ils puissent rien installer ni configurer... |
Lorsque l'on est administrateur, on cherche une solution la plus sure mais surtout la plus souple possible vis-à-vis des utilisateurs. Interdire l'installation ou la configuration des portables ? Non, vraiment, je ne vois rien de professionnel dans cette attitude....
Marsh Posté le 11-10-2005 à 17:02:30
petoulachi a écrit : |
Je sais pas trop ce que représente l'investissement financier de cette solution, mais je suis d'accord ca a l'air super interessant et ca risque de se développer dans les gros parcs.
petoulachi a écrit : |
Là aussi je suis d'accord, perso dans mon entreprise je ne peux clairement pas restreindre les portables, malgrés les risques, la direction s'y oppose donc il faut trouver d'autres solutions
Marsh Posté le 11-10-2005 à 17:26:56
T'as qu'à passer les portables sous linux, les vers et virus seront moin présents
Et sinon, tu peux meme multiplier les pare-feux (de marque différente bien sûr), mettre anti-virus et anti spyware sur tes postes. De tte façon, si comme tu le dis ton budget n'est pas énorme, tu va te retourner vers ce genre de solutions. J'ai déjà vu des entreprises qui proposaient ce genre de service, mais à quel prix exhorbitant...
Marsh Posté le 11-10-2005 à 17:36:56
Quich'Man a écrit : Je sais pas trop ce que représente l'investissement financier de cette solution, mais je suis d'accord ca a l'air super interessant et ca risque de se développer dans les gros parcs. |
Veloci_RaptoR a écrit : T'as qu'à passer les portables sous linux, les vers et virus seront moin présents |
Je pense que tu ne comprends pas ce que je recherche. Ce n'est pas en multipliant les firewalls/antivirus/antispywares/anti-ce-que-tu-veux que cela va solutionner mon problème
Marsh Posté le 11-10-2005 à 18:18:50
chez cisco, ca existe deja, ca s'appelle le NAC
Grace a des accords avec certains developpeur anticirus, il permettent de faire deja la mise en quarantaine.
en fait, pour ca, il te faut configurer le 802.1x. Et comme supplicant, tu utilises non pas login/mdp, mais signature anti-virale à jour.
Si au niveau cisco, t'es à jour, ca devrait pas revenir trop cher, si ce n'est un serveur de gestion centralisé des AV.
Regarde sur le site de cisco, ils doivent en parler .. et si tu le mets en place, et que ca fonctionne, n'hésite pas à faire un tuto, je serais intéressé sous peu
++
Marsh Posté le 11-10-2005 à 22:33:31
petoulachi a écrit : Non le Pastek ! Jle crois pas Ca va bien ? |
ca va bien et toi ?
c'est sur que la version corpo de norton est nettement plus efficace que la version public, on installai que ca, y a kk années mais depuis il s'est alourdi vraiment et on prefere largement un officescan de trend
Marsh Posté le 12-10-2005 à 11:01:51
trictrac a écrit : chez cisco, ca existe deja, ca s'appelle le NAC |
Je sais que Cisco travaille dessus, ils ont meme passé avec un accord avec microsoft. Je vais aller voir de leur côté ce que ça donne, mais comme nos équipements réseaux ne sont pas des Cisco ça risque de revenir cher
Marsh Posté le 12-10-2005 à 11:02:16
houstek a écrit : ca va bien et toi ? |
Bin ça va plutot pas mal pour moi
Pour Norton, vu qu'on a encore 1 an de licence valide on va pas changer
Marsh Posté le 12-10-2005 à 12:03:24
petoulachi a écrit : |
Vu que Sygate est passe dans le giron de Symantec, contacte les pour voir ce qu'ils peuvent te proposer
en terme de licence groupee, meme pourquoi pas
leur demander une demo sur site de la solution SSE/SEP couplée au SSC de SAV Corporate.
Marsh Posté le 11-10-2005 à 11:06:22
Bonjour à tous,
Je suis admin dans une petite société ou la sécurité est un facteur priviligié. A l'heure actuelle, cette societé n'a que des postes de développeurs, ce qui facilitent grandement l'administration (les utilisateurs sont tous bien informés des risques liés à Internet etcetc). De plus, les postes sont tous des postes fixes, ce qui me facilitent encore plus la tache.
Toutefois, nous allons bientot accueillir de nouveaux employés (commerciaux, gestion clientèle, compta...), et la majorité de ces employés auront un PC portable.
Du coup je commence à stresser . Bien entendu, chaque poste aura son anti virus. Pour le firewall, je pense que j'activerai celui du SP2 lorsque le portable n'est pas relié au réseau de l'entreprise (je ne sais pas trop comment on peut faire ça, mais j'imagine que c'est faisable via la GPO locale du portable ?).
La ou je suis par contre un peu plus largué, c'est pour gérer l'arrivée du portable dans le réseau de l'entreprise. En fait j'aimerai d'un système équivalent au NAP de Microsoft/Cisco (je l'aurai bien fait avec ça mais ça n'est pas encore sorti). En gros, qu'un portable qui se brnache sur notre réseau soit temporairement sur un réseau de quarantaine le temps de vérifier ses mises à jour Windows/Antivirus, et le temps de le scanner. Si tout va bien alors le portable rejoint le réseau de l'entreprise.
Avez-vous des conseils, des avis à me donner ? Je ne connais malheureusement pas de solution pour faire cela. Mon budget n'est pas encore fixé, mais il ne serait pas énorme (en gros hors de question d'avoir à acheter deux serveurs + licences pour mettre ceci en place).
Merci de m'éclairer !
Message édité par petoulachi le 11-10-2005 à 15:30:33