Pare feu Windows server

Pare feu Windows server - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 06-10-2014 à 10:27:14    

Bonjour,
 
J'ai mis en place 2 contrôleurs de domaine, le principal sous Windows 2008 et l'autre sous Windows 2003.
 
Tout fonctionne correctement sauf la réplication des stratégies et du dossier sysvol qui ne se fait pas lorsque le pare feu est activé.
Par contre si je désactive ce dernier, la réplication se fait sans soucis.
 
J'ai suivi les indications de Microsoft grâce à ce lien :
http://support2.microsoft.com/kb/832017
 
Ma question se porte sur les ports RPC dit "aléatoires" nécessaires à la réplication.
Sachant que sous Windows 2008, le fait d'ajouter les rôles de contrôleurs de domaine, serveurs de fichiers, etc ... celui-ci ouvre automatiquement (via des règles) les ports réseau nécessaires (mais apparemment pas tous puisque la réplication ne fonctionne pas)
 
1/ Dois-je ajouter la plage de ports 49152 - 65535 comme indiqué dans la documentation officielle ?
 
2/ D'un point de vue sécurité, vaut-il mieux fixer un port fixe ou laisser cette plage dynamique ?
 
 

Reply

Marsh Posté le 06-10-2014 à 10:27:14   

Reply

Marsh Posté le 06-10-2014 à 12:14:47    

Juste pour mon info, ça sert à quoi concrètement d'activer le pare-feu sur ses DC ?

Reply

Marsh Posté le 06-10-2014 à 12:35:32    

A les protéger, comme toute machine.
 
Pour ta problématique, vire ton DC 2003 qui ne sera plus supporté dans quelques mois au lieu de toucher à la configuration de la réplication. En attendant désactive le pare-feu sur le 2003.

Reply

Marsh Posté le 06-10-2014 à 12:40:34    

Ouvrir sur un plage monstrueuse comme ca, c'est un peu foufou ! Il y a des clefs de registre où tu peux fixer 2 ports de ton choix... si tu as besoin par la suite de faire passer la réplication dans des firewall entre des réseaux (multi-site par exemple) ca sera plus simple (http://support.microsoft.com/kb/224196/fr)

Reply

Marsh Posté le 06-10-2014 à 12:56:05    

Tu ne précises pas le sens dans lequel la réplication ne passe pas.
Comme ShonGail, je ne vois pas trop l'utilité d'activé un pare-feu sur un serveur dans une zone sécurisée.
Tant que tu n'as que les ports nécessaires d'ouvert, il n'y a pas grand risque à ce niveau là.

Reply

Marsh Posté le 06-10-2014 à 13:55:04    

nebulios a écrit :

A les protéger, comme toute machine.
 
Pour ta problématique, vire ton DC 2003 qui ne sera plus supporté dans quelques mois au lieu de toucher à la configuration de la réplication. En attendant désactive le pare-feu sur le 2003.


 
A les protéger de quoi ?
 
Parce que si le parefeu, c'est ouvrir les ports sans autre check, je ne vois pas de quoi ça protège vu qu'il faut en ouvrir un paquet sur un DC et justement sur les services qui peuvent craindre.
Au final, les ports fermés, c'est ceux où aucun service n'écoute ?

Reply

Marsh Posté le 06-10-2014 à 14:23:00    

nnwldx => la réplication ne passe dans aucun des 2 sens.
 
nebulios => le 2003 est l'ancien serveur qui était en production et que j'ai recyclé pour avoir un réplicat de l'active directory pour plus de sécurité
 
Effectivement les contrôleurs sont dans la zone sécurisé derrière des routeurs qui font office de pare feu mais ne vaut-il pas prévenir que guérir et activer le pare feu malgré tout ?
 
Pourquoi devoir activer une plage aussi étendue de ports pour un service de réplication qui n'a besoin je suppose (peut-être à tort) besoin que d'un seul port pour pouvoir fonctionner ?

Reply

Marsh Posté le 06-10-2014 à 14:35:53    

Perso je ne vois pas ce que tu préviens en activant le pare-feu Windows sur un DC.
Sauf à ce que tu ais dessus un service faillible qui ne doit pas être attaqué par tout ou partie de ton LAN (et il n'a surement rien à faire sur le DC).
Mais imaginons que ton DNS ait une faille ou alors que tu ais permis l'écriture sur SYSVOL, le pare-feu ne servira à rien.


Message édité par ShonGail le 06-10-2014 à 14:36:52
Reply

Marsh Posté le 06-10-2014 à 14:42:35    

ShonGail a écrit :


 
A les protéger de quoi ?
 
Parce que si le parefeu, c'est ouvrir les ports sans autre check, je ne vois pas de quoi ça protège vu qu'il faut en ouvrir un paquet sur un DC et justement sur les services qui peuvent craindre.
Au final, les ports fermés, c'est ceux où aucun service n'écoute ?


 
Les ports sont ouverts de façon dynamique avec un pare-feu moderne, pas statique. Cela permet de se protéger partiellement d'infections de type vers notamment. Ce n'est pas parce que s'il s'agit d'un LAN que c'est un réseau 100% safe.

Reply

Marsh Posté le 06-10-2014 à 15:04:44    

nebulios a écrit :


 
Les ports sont ouverts de façon dynamique avec un pare-feu moderne, pas statique. Cela permet de se protéger partiellement d'infections de type vers notamment. Ce n'est pas parce que s'il s'agit d'un LAN que c'est un réseau 100% safe.


 
Que le pare-feu Windows soit statefull, OK.
Mais cela ne protégera pas des virus type worms. Si un partage est accessible, le virus se copiera dessus, pare-feu activé ou non. Ce dernier sera incapable de savoir s'il s'agit d'une copie automatisée par un virus ou non.

Reply

Marsh Posté le 06-10-2014 à 15:04:44   

Reply

Marsh Posté le 06-10-2014 à 15:08:58    

et si ce vers écoute sur un autre port après, au moins il sera bloqué (enfin en théorie :D, il sufirait qu'il l'ouvre lui même ou qu'il désactive le fw)

Reply

Marsh Posté le 06-10-2014 à 15:20:42    

Sauf que ce ver ne pourra pas s'exécuter sur le DC car on aura pris soin de ne pas laisser en partage quoi que ce soit de plus que nécessaire et surtout pas des dossiers où les process sont lancés par le système.

 

Imaginons quand même que le ver se lance, il se moque du pare-feu car il ne se met pas à l'écoute, il va se contenter de se répliquer sur les autres postes via les partages ou tout autre vecteur de propagation pour lesquels il aura été prévu pour.


Message édité par ShonGail le 06-10-2014 à 15:22:24
Reply

Marsh Posté le 06-10-2014 à 15:21:19    

Je vois que les avis sont partagés :ange:  
 
Mais revenons à l'essentiel. Pour permettre la réplication, vaut-il mieux :
 
- d'ouvrir la plage des ports dynamiques des 2 côtés soit 1025 à 5000 pour le W2003 et 49152 à 65535 pour le W2008 ? et dans ce cas est-il indispensable d'ouvrir une plage de ports si large.
 
- de définir un port fixe via la base de registre sur les 2 serveurs.
 

Reply

Marsh Posté le 06-10-2014 à 15:38:33    

bart007 a écrit :


 
nebulios => le 2003 est l'ancien serveur qui était en production et que j'ai recyclé pour avoir un réplicat de l'active directory pour plus de sécurité
 


C'est une très mauvaise idée avec deux versions aussi différentes :/ Tu y gagnes très peu en sécurité et tu te rajoutes un paquet d'emmerdes à gérer en cas de pépin et de migration.

Reply

Marsh Posté le 06-10-2014 à 15:40:58    

ShonGail a écrit :


 
Que le pare-feu Windows soit statefull, OK.
Mais cela ne protégera pas des virus type worms. Si un partage est accessible, le virus se copiera dessus, pare-feu activé ou non. Ce dernier sera incapable de savoir s'il s'agit d'une copie automatisée par un virus ou non.


Protègera complètement non, mais ça permet notamment de limiter tout ce qui fonctionne à base de scan de ports et en sortie, c'est donc un moyen de limiter une infection, mais ça reste une couche de sécurité supplémentaire parmi d'autres.

Reply

Marsh Posté le 06-10-2014 à 16:19:52    

netbulios => je sais mais on fait avec ce qu'on a :p

Reply

Marsh Posté le 06-10-2014 à 16:41:48    

Non, c'est pas une raison. Tu ferais bien mieux de dégager cette vieille machine

Reply

Marsh Posté le 07-10-2014 à 06:08:31    

Voilà, il vaut mieux un DC en 2008R2 plutôt que deux DC l'un en 2008R2, l'autre en 2003.

Reply

Marsh Posté le 07-10-2014 à 14:05:43    

Merci pour vos avis mais j'aimerais si possible que vous répondiez à ma question principale, c'est à dire Pour permettre la réplication, vaut-il mieux :
 
- d'ouvrir la plage des ports dynamiques des 2 côtés soit 1025 à 5000 pour le W2003 et 49152 à 65535 pour le W2008 ? et dans ce cas est-il indispensable d'ouvrir une plage de ports si large ?
 
- de définir un port fixe via la base de registre sur les 2 serveurs.  
 
Si les 2 solutions existent, je suppose qu'il y a des avantages et inconvénients à chacune ?

Reply

Marsh Posté le 07-10-2014 à 14:52:50    

Tu veux fixer quoi comme ports ?

Reply

Marsh Posté le 07-10-2014 à 15:16:20    

On peut selon Microsoft définir via la base de registre un port fixe pour la réplication :
 
La réplication de SYSVOL exige la mise en œuvre du service de réplication de fichiers (FRS) ou du service de réplication de système de fichiers distribué (DFS) sur un port RPC dynamique. Si vous souhaitez utiliser un port particulier pour la réplication FRS ou DFS, voir l’article 832017 dans la Base de connaissances Microsoft (http://go.microsoft.com/fwlink/?LinkID=22498).
 
D'où ma question, vaut-il mieux (d'un point de vue sécurité)  ouvrir la plage de ports dynamique ou définir un port fixe ?

Reply

Marsh Posté le 07-10-2014 à 17:41:22    

Le pare-feu microsoft laisse le trafic sortir, ne regarde pas de ce côté là.
Vérifie plutôt les ports en entrée.
http://technet.microsoft.com/en-us [...] 10%29.aspx

Reply

Marsh Posté le 08-10-2014 à 14:29:14    

Je ne comprends rien, je n'arrive pas à désactiver le pare feu sous Windows 7, comment faire? :pfff:

Reply

Marsh Posté le 08-10-2014 à 16:08:02    

J'ai trouvé une partie de réponse par le biais de cet article :
 
http://social.technet.microsoft.co [...] walls.aspx

Reply

Marsh Posté le 08-10-2014 à 16:13:55    

Reply

Marsh Posté le 08-10-2014 à 17:42:06    

C'est un peu ce que t'ai mis dans ma réponse d'hier.

Reply

Marsh Posté le 10-10-2014 à 09:59:34    

Merci à vous pour la réponse, je vais consulter ce site ;)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed