Garantir la fiabilité et la sécurité de vos installations

Garantir la fiabilité et la sécurité de vos installations - Windows & Software

Marsh Posté le 18-05-2004 à 09:27:42    

Vous administrez le réseau de votre entreprise et avez en charge l'architecture, la sécurité, la qualité des services...
En premier lieu je cherche à connaître le type d'architecture (cluster, n-tiers...) qui est déployée dans votre entreprise et votre capacité à prévoir et limiter les pannes.
Ensuite je m'interroge en ce qui concerne vos méthodes de sécurisation de votre installation (firewall, proxy...) et votre degré de vigilance (log?).
Enfin je m'interesse à tout ce qui a trait à vos méthodes d'audit et de veille tant au niveau de votre propre parc (astreintes?) que des risques liés à l'Internet notamment (virus...).
 
Le but de ce topic n'est absolument pas de disserter sur les fiabilités des OS, il n'en est d'ailleurs pas question dans un premier temps.
L'interêt est avant tout d'avoir un retour d'expérience sur une architecture type, des logiciels x et y etc...
 
 

Reply

Marsh Posté le 18-05-2004 à 09:27:42   

Reply

Marsh Posté le 18-05-2004 à 09:35:21    

Je suis actuellement en train de réfléchir à l'intégration dans mon réseau d'un proxy web - passerelle antivirus SMTP.
Ce que je n'arrive pas à determiner c'est la place que ce serveur doit avoir dans mon schéma :  
Intégré au domaine : non, évidemment.
Intégré au réseau privé : bonne question.
 
Le mettre dans la DMZ a un coût en terme de bande passante et d'utilisation du Firewall.
Le placer dans un VLan à part peut être envisageable mais suppose également une sollicitation du Firewall.
 
 
Sachant que ce serveur aura pour fonctions principales :  
- filtrage web
- filtre de protocole
- antivirus SMTP
 
Ou le placeriez-vous? Ou sont placés les votres?
 
:jap:

Reply

Marsh Posté le 18-05-2004 à 11:43:08    

le notre est dans la DMZ avec le reste des serveurs
 
pense qu il sera tres solicite !
 
sinon tout mes utilisateurs sont dans des vlans.
pour les logs j ai les logs des acces des utilisateurs, j ai les logs systeme je mets a jour regulierement .
je n ai pas trop peur des attaques externes ni internes en fait :)
pour les virus j ai un bon antivirus sur la messagerie et sur tout les postes utilisateurs.
le seul truc peut etre que je pourrais rajouter et un antivirus sur le proxy.
 
 
 


---------------
"Douter de tout ou tout croire, ce sont les deux solutions également commodes qui l'une et l'autre nous dispensent de reflechir." Henri Poincaré.
Reply

Marsh Posté le 18-05-2004 à 15:08:54    

tes serveurs sont dans la DMZ? :o
 
là je trouve ça carrément couillu ou inconscient ;)
 
 
tu as séparé tes VLANs selon quels critères?
 
:jap:

Reply

Marsh Posté le 18-05-2004 à 18:05:06    

Reply

Marsh Posté le 18-05-2004 à 18:14:06    

krapaud a écrit :

tes serveurs sont dans la DMZ? :o
 
là je trouve ça carrément couillu ou inconscient ;)
 
 
tu as séparé tes VLANs selon quels critères?
 
:jap:


vi :)
mais t inquiete c est bien protege.
et on a qqes IDS !
sinon pour les VLANS on a separes par etage. un service par etage c etait parfait.


---------------
"Douter de tout ou tout croire, ce sont les deux solutions également commodes qui l'une et l'autre nous dispensent de reflechir." Henri Poincaré.
Reply

Marsh Posté le 18-05-2004 à 21:06:20    

comment tu filtres ce qui provient de ta DMZ?

Reply

Marsh Posté le 18-05-2004 à 23:22:58    

Moi en DMZ avec :
 
HTTP(S) public, DNS public, SMTP public.

Reply

Marsh Posté le 19-05-2004 à 08:53:20    

et donc mon cas de figure, que penserais-tu du positionnement du proxy? DMZ ou intranet ou VLan?

Reply

Marsh Posté le 19-05-2004 à 09:38:40    

moi je le foutrai ds ton lan mais avec un firewall entre le proxy et le lan ;)


---------------
:: Light is Right ::
Reply

Marsh Posté le 19-05-2004 à 09:38:40   

Reply

Marsh Posté le 19-05-2004 à 09:53:39    

tu ferais lan -> FW -> proxy -> FW
C'est couteux ;) :D

Reply

Marsh Posté le 19-05-2004 à 09:55:26    

krapaud a écrit :

tu ferais lan -> FW -> proxy -> FW
C'est couteux ;) :D

oue :D


---------------
:: Light is Right ::
Reply

Marsh Posté le 19-05-2004 à 09:57:33    

Moi je le mettrais dans le LAN car j'ai pour principe de mettre dans la DMZ uniquement ce qui doit avoir un contact avec l'extérieur (serveur). Ce qui n'est pas le cas du proxy, il est en écoute uniquement du LAN.
 
Maintenant s'il fait aussi réverse proxy -> DMZ

Reply

Marsh Posté le 19-05-2004 à 09:59:39    

non ce n'est pas un reverse proxy. J'ai également la même attitude que toi en général mais je me suis trouvé confronté à des avis inverse du fait de la passerelle antivirale :/

Reply

Marsh Posté le 19-05-2004 à 10:01:07    

krapaud a écrit :

non ce n'est pas un reverse proxy. J'ai également la même attitude que toi en général mais je me suis trouvé confronté à des avis inverse du fait de la passerelle antivirale :/

ah pk ca ?


---------------
:: Light is Right ::
Reply

Marsh Posté le 19-05-2004 à 10:05:38    

parce qu'il écoute autant ce qui vient de l'intranet que ce qui vient de l'internet.

Reply

Marsh Posté le 19-05-2004 à 10:06:55    

krapaud a écrit :

parce qu'il écoute autant ce qui vient de l'intranet que ce qui vient de l'internet.

spour ca qu il lui fo un firewall de chaque cote


---------------
:: Light is Right ::
Reply

Marsh Posté le 19-05-2004 à 10:10:31    

krapaud a écrit :

tu ferais lan -> FW Microsoft-> proxy -> FW UNIX / Linux
C'est couteux ;) :D


 
C'est ce que je ferais et essaie de faire. Sans débattre sur le systeme chose dont je serait incapable vu mes faibles connaissances UNIX...


Message édité par boomboommusic le 19-05-2004 à 10:10:56
Reply

Marsh Posté le 19-05-2004 à 10:17:42    

krapaud a écrit :

parce qu'il écoute autant ce qui vient de l'intranet que ce qui vient de l'internet.


 
Ah c'est une passerelle antivirus SMTP et Proxy ?

Reply

Marsh Posté le 19-05-2004 à 10:52:15    

Hello.
 
Actuellement je suis en poste ou on a ça.
 
Le reverse proxy en DMZ.
Le reste des serveurs en Lan.
 
L'accès passe par des firewall qui sont en redondances sur une architecure redondante aussi du coté de FT ( 2 lignes, 2 routeurs ect..)
 
L'acces au net et les mails sont filtrés par un anti spam et anti virus Trend, dont les mises à jours sont verifée automatiquement toutes les heures.
Il y a des remontée d'alertes par mails pour les mises à jours ou la non-mise à jour.
Le filtre est mis sur une architecure clusters. Par contre là pas de remontée si un de noeuds est down, ça se voit uniquement sur les serveurs.  
 
Les postes clients se connectent avec un script de connextion qui fait que losque un des noeuds est down il doivent passer par l'autre noeud.
 
Apres le serveur exchange est aussi protégé par un antivirus.
 
Puis les workstations ont aussi un anti virus dont les mises à jours sont faites à la mains dans un premier temps pour éviter les fichier corrompus.
Ensuite la mise à jours de l'av est diffusée avec un script de connexion.
 
 
Par contre on a pas d'audit précis à part notre vigilance de tout les jours, et l'astreinte est tacite et permantente.

Reply

Marsh Posté le 19-05-2004 à 11:02:31    

Jef34 a écrit :

Ah c'est une passerelle antivirus SMTP et Proxy ?


 
oui proxy cache et filtrage de protocole et passerelle antivirus http/ftp/smtp

Reply

Marsh Posté le 19-05-2004 à 11:03:18    

boomboommusic a écrit :

C'est ce que je ferais et essaie de faire. Sans débattre sur le systeme chose dont je serait incapable vu mes faibles connaissances UNIX...


 
non, je ne mettrais pas de linux/unix pour cause de manque de connaissances et d'absence sûre et certaine de validation par la DG :D

Reply

Marsh Posté le 19-05-2004 à 11:05:39    

akirasan a écrit :

Hello.
 
Actuellement je suis en poste ou on a ça.
 
Le reverse proxy en DMZ.
Le reste des serveurs en Lan.
 
L'accès passe par des firewall qui sont en redondances sur une architecure redondante aussi du coté de FT ( 2 lignes, 2 routeurs ect..)
 
L'acces au net et les mails sont filtrés par un anti spam et anti virus Trend, dont les mises à jours sont verifée automatiquement toutes les heures.
Il y a des remontée d'alertes par mails pour les mises à jours ou la non-mise à jour.
Le filtre est mis sur une architecure clusters. Par contre là pas de remontée si un de noeuds est down, ça se voit uniquement sur les serveurs.  
 
Les postes clients se connectent avec un script de connextion qui fait que losque un des noeuds est down il doivent passer par l'autre noeud.
 
Apres le serveur exchange est aussi protégé par un antivirus.
 
Puis les workstations ont aussi un anti virus dont les mises à jours sont faites à la mains dans un premier temps pour éviter les fichier corrompus.
Ensuite la mise à jours de l'av est diffusée avec un script de connexion.
 
 
Par contre on a pas d'audit précis à part notre vigilance de tout les jours, et l'astreinte est tacite et permantente.


 
:jap:
merci pour ta participation :)
 
quelques questions :  
l'antispam de trend, tu en penses quoi?
Ton serveur exchange dispose d'un antivirus dédié ou est-ce qu'il transite par Trend également?
 
en tout cas t'as une belle architecture on dirait :jap:

Reply

Marsh Posté le 19-05-2004 à 11:08:48    

krapaud a écrit :

non, je ne mettrais pas de linux/unix pour cause de manque de connaissances et d'absence sûre et certaine de validation par la DG :D

:heink:


---------------
:: Light is Right ::
Reply

Marsh Posté le 19-05-2004 à 11:16:32    

Il est pas mal l'antispam de Trend, comme c'est le même produit que l'antivirus les quarantaines sont globales.
il est plutot pertinent, le niveau de criticité est modifiable sur plusieurs niveau.
J'avais oublié qu'il y a des remontée d'alertes pour tout mail ou pieces jointes mis en quarantaine.
A cote de ça j'ai pas de comparaison c'est le seul avec lequel j'ai jamais travaillé.
 
Sinon oui le serveur exchange à aussi un antivirus à part qui fonctionne en real-time et qui fait des remontée d'alertes quand il trouve des virus.
et le serveur exchange est lui aussi sur un cluster.
 
Et oui j'ai de la chance d'avoir ce poste :)

Reply

Marsh Posté le 19-05-2004 à 11:18:38    

pour l'instant je n'utilise pas la fonction antispam mais je crois que je vais l'ajouter si elle est effectivement bien agencée. Ce que je redoute c'est que des mails soient assimilés à du spam quand ils n'en sont pas donc je dois m'assurer qu'il laisse une liberté suffisament importante en terme de gestion des filtres.

Reply

Marsh Posté le 19-05-2004 à 11:33:03    

Ca au début il a tendance à bcp confondre les newsletter et le spam c'est vrai.
Mais tu peux modifier les listes d'expéditeurs approuvés comme tu le veux.
Mais j'ai le souçis par exemple d'une news letter fiscale dont l'emmeteur change à chaque fois, donc elle ne passe jamais.
A coté de ça j'ai 350 mails de spam/jours et dans le tas j' ai 5-6 erreurs, j'entends qui ne sont pas du spam.
 
Les erreurs donc soit tu les libères de la quarantaine, soit tu mets l'expediteur en tant qu'approuvé et dans ce cas il ne sera plus bloqué la fois d'après.
Ca nécéssite quand même de vérifier les remontées d'alertes assez souvent, surtout au début.
 
Mais d'un autre coté sans l'anti spam je crois bien que mes users seraient vite débordé.
 
Ca dépend aussi à quel point tu es touché par le spam chez toi.Mais je crois qu'on y échappe difficilement ces derniers temps.
 

Reply

Marsh Posté le 19-05-2004 à 11:35:36    

bah pour l'instant c'est assez correct, la politique d'utilisation du mail a été relativement bien assimilée par les utilisateurs donc ça se passe sans trop de difficultées.
Par contre un mail mis en quarantaine, une fois libéré est-il retransmis aux destinataires?

Reply

Marsh Posté le 19-05-2004 à 11:45:38    

Oui tout à fait.
 
Par contre le mail garde l'heure d'arrivée sur le serveur anti spam.
Donc si tu mets 3 heures ( moi une fois j'ai mis 3 jours :) )  à voir qu'un mail à été bloqué, ça se verra quand l'utilisateur le recevra.
 
En fait le mieux quand tu commences c'est d'essayer de faire une liste exhaustive des contact professionels avec lesquels vous travaillez et de tous les mettres dans la liste des emmetteurs approuvés.
 
Evidemment la liste des emmeteurs approuvés prends en compte le caractere *, c'est important parceque sinon il faudrait mettre chaque utilisateurs, alors que là tu mets *@machin.com en approuvé et tout les mails venant de machin.com passeront.
 
Comme ça normallement tu ne bloques pas des mails de boulot urgents.
 
Et apres il faudra faire au cas par cas.

Reply

Marsh Posté le 19-05-2004 à 11:47:50    

oui je vois. Je vais surement m'y atteler dans quelques temps, et si j'ai des précisions à te demander je n'hésiterais pas.
 
:jap:

Reply

Marsh Posté le 19-05-2004 à 11:49:01    

Question un peu en dehors : utilisez vous les notifications des passerelles antivirales pour signaler soit à l'emetteur d'un message soit à son destinataire, soit aux deux que le message envoyé contient une virus?

Reply

Marsh Posté le 19-05-2004 à 11:49:23    

N'hésites pas , j'aime bien me faire mousser :D

Reply

Marsh Posté le 19-05-2004 à 11:50:51    

:D

Reply

Marsh Posté le 19-05-2004 à 11:57:59    

Là ça dépend des cas.
 
Le serveur est configuré pour séparer ce qu'il considère comme du mass-mailing et le reste.
 
Dans le cas du mass-mailing, les mails sont purement supprimés ( cad mis en quarantaines) directement sans passer par le serveur exchange.
Et pas de notification ni à l'utilisateur, ni à l'expéditeur, juste une remontée d'alerte pour le service info.
 
Par contre si le serveur voit passer un mail vérolé et qu'il considère que ce n'est pas du mass-mailing, alors le mail est quand même transmis au destinataire. Mais la pièce jointe vérolée est remplacée par un fichier texte disant que le serveur anti virus à supprimé la pièce jointe.
Par contre je ne me souviens plus comment il fait quand il y a un lien dans le corps du message qui renvois vers un download de fichier vérolé, je crois bien qu'il supprime le message.
Mais il est capable de reconnaître ce type de liens HTTP dans un mail ce qui est bien.
 
Faut dire que le serveur AV scan aussi le traffic HTTP, mais il n'est pas capable de scanner le traffic HTTPS pour l'instant.
 
Et dans tout les cas pas d'accusé réception à l'expéditeur. On laisse les utilisateur prévenir leur contacts si ils veulent.

Reply

Marsh Posté le 19-05-2004 à 12:07:08    

tiens j'avais pas pensé à ces virus joints par url :o
 
merde faut que je me penche là-dessus :/

Reply

Marsh Posté le 19-05-2004 à 12:09:59    

yep, ça représente même pas 0.5% de mes alertes, mais y'en a.
 
Surtout des gens qui consultent des BAL persos sur le net.

Reply

Marsh Posté le 19-05-2004 à 13:59:52    

il n'y a pas de webmail ici mais par contre faut que je vois ce que je peux faire avec trend pour bloquer ça :o

Reply

Marsh Posté le 19-05-2004 à 14:00:55    

Tu utilises IMSS ?

Reply

Marsh Posté le 19-05-2004 à 14:53:56    

pas à ma connaissance

Reply

Marsh Posté le 19-05-2004 à 16:28:55    

krapaud a écrit :

il n'y a pas de webmail ici mais par contre faut que je vois ce que je peux faire avec trend pour bloquer ça :o


tu bloqueras avec le proxy justement !
c est clair que pour les webmails la secu repose sur le proxy et sur l antivirus personnel
 
Anti spam pour exchange t as celui de GFI mails essentials qui est sympa !!!!
il utilise un filtre baesien ou baeysien enfin qui apprendss tout seul quoi  :D


Message édité par rizzla_tsa le 19-05-2004 à 16:32:45

---------------
"Douter de tout ou tout croire, ce sont les deux solutions également commodes qui l'une et l'autre nous dispensent de reflechir." Henri Poincaré.
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed