Bonjour,
 
Est-ce une hérésie ou tout à fait valable d'utiliser le par-feu Windows et un antivirus sur des serveurs en production tournant sur Windows Server 2008 R2 ?
 
Car dans ma boite un ancien administrateur réseaux a désactivé tous les par-feux des serveurs en production, et installer un antivirus mais seulement sur le serveur qui fait office de serveurs de fichiers dans le domaine.
 
Cela me semble bête, et je commence à activer le par-feu et l'installation d'un antivirus client Trend payant sur chaque serveur, mais j'aimerai être rassuré.
 
En sachant que ces serveurs se situent dans un LAN, et que deux firewalls/routeurs nous coupent d'Internet.
 
Merci de votre aide    
 

Pour l'antivirus c'est indispensable.
 
Pour le pare-feu c'est fortement recommandé (le natif fonctionne très bien depuis Vista) mais il faut prendre le temps de la configurer pour chaque serveur (idéalement par GPO).

Merci de ta réponse nebulios !
 
Cela me rassure dans mon idée. Vaut mieux tout bloquer par défaut, et filtrer les services utilisés, plutôt que d'ouvrir tout.
 
Comme les ACL sur les commutateurs/routeurs de niveau 3.

  j'espère quand même qu'en prod tu n'utilises pas un Vista comme serveur ?
 
Pour le reste, pas mieux, antivirus + pare-feu sur du serveur Windows.
Pare-feu sur serveur Linux "générique".
Pare-feu + antivirus sur serveur Linux de partages de documents et messagerie.

 
Pour ma part, nous utilisons des Windows Server 2008 R2 principalement et aussi un Windows Server 2003.
 
Pour les serveurs Linux, je n'ai rien paramétré niveau sécurité, je pense mettre en place IPtables qui doit être installé par défaut il me semble sur la distribution debian.
Tu utilises quoi comme antivirus sur un Linux, payant ou gratuit ?
 
Merci de vos réponses  

Bon ca sert à quoi un antivirus ? Et un firewall ?
Et comment ca marche ?

Une fois qu'on a bien réfléchi à ces questions, plutôt que de seriner qu'il faut ceinture, bretelle et parapluie avec le ciré, on se dit que c'est peut-être pas "utile" partout. Que ca peut même dans le cas d'un AV être dommageable.
On aura remarqué le mot "utile" qui signifie qu'on réfléchi à l'utilité réelle de la chose. Pas à se dédouaner techniquement.

Je veux bien que tu me donnes des cas où un antivirus n'est pas utile (à partir du moment il existe une connectivité quelconque sur celui-ci).

 
Un DC ? Un serveur ERP ? Un serveur mail avec le seul rôle d'héberger les BAL ? Un serveur de fichiers en lecture seule ? Un serveur qui fournit un service quelconque sur lequel tu maîtrises seul les données ?

Tous ces serveurs peuvent se faire infecter, puis servir de source pour infecter les autres    
 

Comme nebulios, à partir du moment ou un serveur est connecté à un LAN, il est susceptible d'être vérolé.
 
Même si la mise en place d'un par feu bien paramétré limite, il ne supprime pas le danger selon moi.
 
Et il est bien connu que le danger provient d'abord de l'interne que de l'externe. (Je ne connais plus les pourcentages mais il me semble 80 % interne et 20 % externe donc par Internet).
 
Par exemple, une clé USB en interne.

Omagad, ce topic me donne vraiment la chair de poule  
 
Donc, tu ne fais même pas analyser ce que reçoivent les personnels chez toi et qui sont hébergé sur ton serveur mail ?

 
Comment ?
Tu vas voir qu'à partir du moment où on analyse techniquement la chose, on devient nettement moins affirmatif.

 
Relis et reviens poster
Surtout que sur l'exemple précis du serveur mail, tu ne fais pas (volontairement ?) d'effort pour saisir ce que j'ai écris.

T'as tes users qui peuvent pluguer une clé USB sur ton DC toi ? Accéder aux partages administratifs de ton serveur SQL ? Se connecter en SSH à ton serveur qui s'occupe de routage ?
Si oui, alors vite installe un AV sur ces serveurs. Mais bon t'auras pas résolu ton problème de fond.

Non mais les utilisateurs peuvent brancher des clés USB sur leurs machines clientes.
 
Qui sont connectées sur le même LAN que les serveurs...
Pour dire, il est d'ailleurs recommandé d'utiliser deux antivirus différents sur les serveurs et les clients.
 
Eviter ainsi le problème d'un virus qui passerait outre l'antivirus et pourrait se balader ou il veut...    
 
Après je suis tout à fait d'accord avec toi, c'est bien de mettre en place des protections mais si dérrière tu laisse ouvert les baies au public, ou que les utilsateurs peuvent faire ce qu'ils veulent...  

 
Et ?
T'as un AV sur les postes clients, non ?
Et même si le poste client se fait infecter, par quel biais il infecte ton serveur ? Ils sont reliés en réseau certes mais le virus n'est pas magique. Il obéit aux mêmes règles que tout process pour tenter de se dupliquer.
Alors si sur tes serveurs, tu ne maîtrises pas les services qui tournent, les authentifications liées, les MAJ des process qui écoutent, et que les users peuvent y ouvrir une session TSE, alors oui t'as intérêt à y placer un AV. Mais bon encore une fois le problème de fond n'est pas résolu.

 
+1 !

Justement, ce problème de fond est entre le clavier et la chaise... les utilisateurs. Oui la dispersion d'un virus n'est pas "magique", mais pour peu qu'il se serve d'un zero-day ou d'une faille non encore colmatée sur Windows server, bah là tu remercieras l'antivirus d'avoir mis en quarantaine la menace.
 
Pour reprendre l'exemple des BAL tu n'analyses pas en amont directement sur ton serveur, donc outre l'antivirus cela veut dire que tu n'as pas de solution anti-spam sur ton serveur de messagerie ? Magnifique et très pro.
 
Il faut aussi voir les mises à jour de sécurité du système

Concernant des failles de process qui écoutent sur le réseau, si on est inquiet sur l'un d'eux alors oui on peut mettre un AV (à condition que lui-même soit performant et ultra à jour).
Mais bon on est dans l'ultra exceptionnel, voir le truc qui n'arrive jamais.
J'ai jamais vu de clients infectés ou entendus de serveurs infectés par une faille découverte le jour même ou la veille. Infectés via une faille dont le correctif est sorti y'a des semaines ou des mois, alors ca oui j'en ai vu.
D'ailleurs, on ne se pose pas la question d'un AV sur les appliances réseaux, on se contente de suivre les MAJ. A croire qu'à partir du moment où on tourne sous Windows, faut installer la panoplie de l'hypocondriaque.
Alors je veux bien qu'on blinde la porte avec des ponts levis au cas où les Goths débarqueraient mais on oublie trop souvent de focaliser aussi un peu de son attention sur le toit qui fuit et où les simples voleurs peuvent entrer (comprendra qui pourra mon analogie )

Pour la messagerie, je n'ai pas compris ton propos. Il existe des architectures où l'analyse des SPAM et des virus n'échoit pas au(x) serveur(s) qui héberge(nt) les BaL, mais à des passerelles ou proxies.

Mais bon la messagerie n'est peut-être pas le meilleur exemple.
Par contre, on m'expliquera l'utilité d'un AV sur un Windows Server qui fait du routage (sauf à vouloir analyser les flux à la volée), sur un serveur SQL, sur un DC, etc.
Bien sûr, je pars du principe qu'on a seul la main sur ces serveurs, qu'on fait tourner les seuls services qui ont besoin de tourner et qu'on ne s'en sert pas soi-même pour du P2P.

L'AV est au mieux inutile sur ces serveurs, au pire, par son mode de fonctionnement (installation d'une couche réseau, scan des fichiers accédés et des flux, etc.), il dégrade les performances du serveurs.
J'ai vu des serveurs ERP par exemple aux perfs pourries par un AV, même stoppé !
On m'expliquera à quoi sert l'AV sur un serveur où seuls les process de l'ERP écoutent ...

  Oui oui, ça arrive toujours chez les autres. Mais quand ça arrive finalement chez toi, tu l'as dans l'os. Mieux vaut prévenir que guérir non ?
 
Moi j'ai déjà vu du clients infectés, malgré avoir désinfecté plusieurs fois toutes les machines clientes et les clés USB qui traînaient, ça revenait.
En fait, la bestiole s'était caché sur un serveur qui hébergé un ERP la seule machine du réseau à ne pas avoir d'antivirus.
 
Donc en toute logique, je demande au presta qui nous l'a vendu quel antivirus mettre dessus, et accessoirement ce qu'il conseillait pour les quelques machines reliés à ce serveur (dans un VLAN, à part et tout). Non seulement il tenait le même discours que toi, mais en plus il disait qu'en cas de perte de données cela serait de ma faute s'il y avait un virus sur le réseau  
Et en antivirus pour les machines clientes, monsieur le tech m'a proposé Avast  
 

Cela suppose avoir plusieurs serveurs dédiés pour la messagerie non ? Pour de la petite structure, où cela sera la même machine qui sert pour héberger les BAL et analyser, tu en penserais quoi ?

Donc selon toi, l'antivirus n'est valable sur un serveur pour le partage de fichiers.
 
A partir du moment, où aucun fichier ne transite entre l'utilisateur et le serveur, l'AV ne servira à rien.  
 
Et il faut toujours activer et paramétrer le par-feu et les services activés sur le serveur au petit oignon ?  
 
Ce n'est pas bête comme réflexion, et je commence à douter d'installer l'AV partout, je vais d'abord paramétrer le FW sur chaque serveur.
 
(Je pensais pas que mon topic déchaînerait les passions !  )

Et ça suppose que tes clients en interne n'ont pas de virus et n'en n'envoie pas.
Les appliances/proxys/FOPE and co c'est bien pour les mails venant de l'extérieur mais ça protège pas l'interne.

 
Très jolie histoire
Mais la vrai question à se poser c'est : "comment diable mon serveur ERP a été infecté" ?
Parce que bon, mon propre portable, qui se balade partout et sert à des tas de choses, ca fait belle lurette que mon AV n'a rien eu à se mettre sous la dent. Du coup, il aura au final plus ralenti ma bécane qu'autre chose. Alors bien sûr je le garde car mon utilisation est à risque et mes besoins en perf sont à relativiser.
Mais sur un serveur où seul l'ERP écoute sur son process sur un port particulier, où tu garanties en amont l’innocuité des packages d'installation/patchs/etc., où le matériel est sous clé, on doit se poser la question de la cause de l'infection.
Y'a comme un problème qui dépasse la seule question de l'AV.
 

 
Ben si t'as un seul serveur pour gérer tous les aspects de la messagerie, alors oui tu mets un AV prévu pour protéger l'OS et ce service.
Je ne suis pas anti-AV
Je suis comme tout le monde, j'en ai sur des serveurs et sur les postes. Je fais juste remarquer qu'on doit se poser la question de son utilité ou non.

 
En interne, les users peuvent aussi passer par un proxy SMTP avant d'atteindre les BaL.
Mais bon l'exemple de la messagerie n'est pas le plus pertinent car trop d'architectures sont possibles et pour la majorité c'est un seul serveur qui tient tous les rôles.

 
Non l'AV est valable là où il est utile et ne remplace pas les MAJ, la maîtrise des process qui écoutent, l'authentification, la protection du matériel, etc.
Il y a des fois où il est juste inutile voir dommageable.
Et n'oublions pas que l'AV lui-même doit être performant, à jour et vérifié dans son activité. Est-ce le cas ? Souvent non.

 
Stop la mauvaise fois, ça fait quand même quelques années que l'on a des malwares bien plus méchants qu'un pauvre autorun sur clé USB qui ne sait pas faire une élévation de privilèges   .
 
Pour m'être battu avec des vers style Conficker (par exemple), je peux t'assurer qu'il s'en fout complètement des droits de l'utilisateur concerné : il se propage sur toutes les machines Windows (postes de travail, serveurs, ERP, SQL...) et les démolit.
Maintenant l'antivirus n'est effectivement pas une solution miracle, il y a des coûts financiers et techniques, parfois des problèmes, mais c'est un mal nécessaire comparé à une perte de plusieurs jours de production en cas d'attaque sur des serveurs non protégés.

OK. Prenons l'exemple de ce virus.
Il exploite une faille d'un service Windows.

Première question : as-tu besoin de ce service sur ton serveur et qu'il écoute sur le réseau ?
Réponse : peut-être pas. AV inutile dans ce cas.

Cette faille a été patchée par MS fin octobre 2008.
Le vers a commencé à se propager en novembre.
Si l'on en croit la page Wikipedia sur ce virus, le 1er gros impact en Europe a été un des réseaux de l'armée française touché mi janvier 2009.

Seconde question : pourquoi mon serveur n'est pas à jour après des semaines sur une MAJ critique ?
Serveur pas à jour, mon AV l'est-il tout autant ? Si oui, se montrera t'il opérant dans la désinfection ?

Dans le cas d'un serveur à jour ou qui n'écoute pas sur le service en question parce qu'il n'est pas utile, Conficker ne peut rien faire.

1) Non il n'exploite pas qu'un seul service optionnel dans ses différentes versions, mais aussi des critiques. Et il possède plusieurs moyens de propagation (USB, partages, failles non patchées...)
Ton argument revient à dire : "Tu as les phares qui fonctionnent ? Ah pas besoin de mettre la ceinture alors !"
 
2) Oui il y a des cas où les antivirus sont plus à jour que les serveurs - c'est même fréquent, très fréquent. Tout simplement parce qu'une mise à jour antivirale est la plupart du temps transparente et ne nécessite pas de reboot.  
Dans le cas de Conficker l'antivirus permet de combattre l'infection mais n'empêche pas sa réapparition incessante jusqu'au comblement de la faille.
 
3) Je pense que tu ne l'as jamais vu à l’œuvre et que tu sous-estimes largement ces capacités de propagation et de nuisance. Ce n'est pas un DC promo on l'installation d'un ERP qui va magiquement rendre un serveur imperméable aux vers  

 
 
OK il exploite un service que tu ne peux pas désactiver car utile à l'OS en local.
Mais ce service a t'il besoin d'écouter ou d'être accessible sur le réseau ?
Et puis on parle de serveurs ici. Je pars du principe que n'importe qui ne va pas pluguer sa clé USB dessus ou accéder aux partages (pas nécessairement ouverts sur le réseau par ailleurs et même dans ce cas là, le virus se copie sur un partage mais n'infecte pas le serveur).
 
OK l'AV est plus à jour que le serveur car c'est automatisé et moins contraignant.
Mais ce n'est pas normal. L'AV n'est pas là pour laisser croire aux admins système qu'ils peuvent se passer de faire les MAJ critiques.
 
Pas OK, j'ai déjà vu des infections. Heureusement c'est bcp plus rares à grande échelle que de trouver des systèmes à l'abandon, des sauvegardes jamais vérifiés, des circuits électriques pas au niveau, etc.
Je le répète : je ne suis pas anti-AV.
Je dis juste que certains s'y réfèrent un peu comme l'utilisateur lambda ne juge des perfs d'une machine qu'au nombre de Ghz.
 
Y'a des fois où l'AV n'est pas utile.
Alors pourquoi pas en mettre un malgré tout ? Au prix des licences actuelles, ce serait se priver inutilement.
Comme dit, au mieux il ne fera pas de mal. Au pire, il foutra les perfs en l'air.

 
Si tu as de l'exchange tu fais que du MAPI. Si tu as un serveur IMAP tu peux mettre des éléments dans ta boite IMAP sans passer du SMTP.
Et en pratique sur de l'interne j'ai vu que une seule fois un serveur smtp dédié pour de l'interne, ce que tu indiques par "proxy smtp"

Histoire qui m'a enquiquiné 1 semaine entière rien que sur ça  
Pour l'infection, par un user qui avait une clé USB publicitaire infectée. Clé offert par le presta (comme par hasard).
La bestiole avait mis à plat Kaspersky préalablement installé et à jour, et pourtant ça n'avait pas suffit.
Depuis, je suis passé à Microsoft Security Essential (c'est pas bien je sais, faut pas utiliser du "gratuit pour utilisation personnelle" pour du commercial ) et ça va nettement mieux. Mais Kaspersky autant je ne l'apprécie pas par rapport à ses lourdeurs d'utilisation, autant il est normalement efficace.

Bah voilà, en fait on arrive à se comprendre à ceci près que :
- oui autant pour le firewall si on a du matos dédié pourquoi le mettre, mais ça ne coûte rien d'utiliser celui intégré. Au pire, il y a juste la configuration du logiciel qui est utilisé sur le serveur (du DC ou autre) à voir.
- non pour l'antivirus, ça se met partout. Et si ton antivirus fait ramer la machine, c'est soit que la machine en elle-même est âgée, soit elle ne peut tenir un minimum de charge (ce qui, pour reprendre l'exemple d'un serveur de messagerie unique, est quelque chose de grave)

On parle du service Serveur par exemple. Donc s'il ne répond pas aux requêtes    
Les vers n'ont pas besoin d'un accès local pour infecter une machine, c'est ça qu'il faut que tu comprennes. Une fois sur la LAN ils vont attaquer TOUTES les machines via plusieurs vecteurs différents, beaucoup plus sophistiqués que la copie d'un exe malicieux.
 
Ils n'ont absolument rien à faire que la machine soit un DC, ait un ERP d'installé ou quoi que ce soit d'autre. Ils l'infectent point barre.
 
C'est typiquement ce qui arrive avec une infection généralisée : un poste de travail se fait infecter puis infecte à son tour tout le parc.
 

C'est vrai, mais l'inverse l'est aussi : ce n'est pas parce qu'un serveur est à jour qu'il n'a pas besoin d'un antivirus.
 

 
C'est le problème de ton point de vue : tu dis que l'antivirus n'est pas toujours utile pour une raison très accessoire - l'impact de l'applicatif. L'objectif quand même au final c'est éviter un arrêt de production au mieux partiel et temporaire, et au pire complet et définitif (oui j'ai eu des clients qui ont mis la clé sous la porte après une infection virale).
 
Mais là aussi, avec un produit correct et des exclusions bien paramétrées, l'impact sur les performances est minimal. Avec des machines de test l'impact de signatures corrompues est minimisé.
 
Maintenant si on parle d'une configuration next-next-finish, oui un antivirus peut pourrir un SI. Mais là c'est un problème d'interface chaise-clavier et non d'antivirus.

[quotemsg=90594,32,824461]

Ben là on n'est pas d'accord.
Le code est peut-être très malin, comme dirait un grand admin système que j'ai connu, mais il obéit aux lois générales.
Y'a rien à faire, si le processus qui est sujet à l'exploit n'écoute pas sur le réseau, est patché ou est désactivé, le virus ne pourra rien faire.
Autrement dit, il pourra tjs tenter d'envoyer son paquet censé exploiter la faille à un serveur X, si le service incriminé sur ce serveur X est absent ou mis à jour, ben le virus ne pourra pas l'attaquer.

Morale : on désactive les services inutiles. On ouvre sur le réseau que ceux censés fournir un service en réseau. On patche son OS ou ses applicatifs aussi vite que possible pour les MAJ critiques.

Je vois plusieurs incohérences dans ton raisonnement :
 
1) Dans le cas de Conficker c'est une faille sur le service utilisé sur tous les serveurs Windows car indispensable à leur fonctionnement en réseau. Donc DC ou pas DC, ERP ou pas ERP, on s'en fout : le serveur sera infecté pareil.
 
2) Depuis 2008 les services sont mieux gérés et la plupart absents ou arrêtés par défaut. De plus les autorisations associées ont été sensiblement corrigées pour accorder les droits minimum au fonctionnement du service.
Désactiver des services au petit bonheur la chance c'est provoquer des incidents parfois difficile à diagnostiquer; souvent au pire moment (lors des migrations).
 
3) Un serveur patché mais sans antivirus devient un vecteur qui continuera à attaquer sans relâche les autres machines du réseau. Avec un peu de malchance tu peux avoir aussi un téléchargement de malware à malware en direct depuis le Web si le serveur a un accès à internet.
 
4) Il n'y a pas que les services qui sont visés, mais aussi les requêtes SQL (à moins que tu désactives les services SQL sur ton serveur SQL), les ActiveX, les applications tierces (Java/Adobe en tête)...
 
5) Serveur sans antivirus, infecté, patch pas encore dispo : là tu es très mal.
 
Bref recommander de ne pas installer d'antivirus sur les contrôleurs/applicatifs/base de données (avec ça on doit avoir 80% des serveurs d'une boîte de toute façon) c'est dangereux.

Outre les aspects techniques, il est aussi important de soulever les aspects administratifs / fonctionnels.
 
Il y a des administrations / institutions / ministères qui ont une politique d'application des mises à jour (mêmes critiques) très "stricte" : toutes mise à jour d'OS, quelle que soit sa criticité, doit d'abord passer par des phases de tests en DEV, RECETTE et PRE-PROD avant de passer en PROD. Et pour l'avoir vécu à plusieurs reprises, des fois un correctif publié par Microsoft et annoncé critique ne sera pas déployé avant plusieurs mois ... Là j'estime que l'AV est quand même indispensable.
 
Et je ne parlerai pas des boîtes où un reboot du serveur (pour application de mises à jour) n'est même pas envisageable plus d'une fois par an ...
 
 
EDIT orthographe

Ah bon ? au ministère de l'intérieur, c'est DEV -> PRE-PROD (ultracourte 1-2 mois, et genre sur 1 département) -> PROD. Et les informaticiens qui courent derrière pour réparer les erreurs.
 
Mais gros +1 pour les boîtes où il n'est pas conseillé de redémarrer son serveur, du moins si on veut garder sa place.

J'ai pas dit tous les ministères hein    Au ministère de l'Agriculture, c'était plutôt PROD puis DEV    
 
C'est un concept trop futuriste, on n'est pas prêt  

Ah, quand même

1) ???? Si ton serveur est un serveur DNS, sur quel autre port que le 53 a t'il besoin de répondre ? Si c'est un ERP sur le port 1805 par exemple, quel autre service Windows a besoin d'être ouvert sur le réseau pour que ton ERP soit joignable ? A défaut de désactiver les services ou les paramétrer pour ne pas écouter en réseau, tu n'as jamais eu besoin sur un Windows de laisser ouverts des ports autres que ceux utiles à ton ou tes service(s) pour les utilisateurs distants.

3) si ton serveur est patché (ou service avec faille arrêté ou qui n'écoute pas sur le réseau infecté), il n'est pas infecté. Il ne devient donc pas vecteur d'infection.
Ton serveur a accès à Internet. Oui mais tu es le seul à lancer le navigateur dessus et c'est pas pour aller choper des merdes.

4) Conficker n'exploite pas de failles SQL, ActiveX, etc.
T'as un serveur WEB et ton code est faillible aux injections SQL ? Ben ton AV ne va pas te servir. Faut revoir ton code.
T'as un navigateur avec une faille (ActiveX ou autre) ? Ben oui mais c'est toi qui utilise ton navigateur. Tiens le à jour et ne visite pas astalavista.

Je ne recommande pas de ne pas installer d'AV.
Je dis qu'il ne faut pas croire qu'il fait le café. Comprendre par là que ce n'est pas un produit magique, qui sauve de tout et sans effets secondaires.
L'AV ne sauve pas d'un code mauvais, il ne sauve pas d'une authentification faible, d'un process faillible qui écoute sur le réseau.
Et dans quelques cas de serveurs, oui l'AV est ostentatoire. Et oui parfois il est nuisible.

Un serveur a besoin de communiquer avec les autres pour plein de raisons : authentification auprès du domaine, synchronisation du temps etc... Si tu ne me crois pas installe un 2008 Core, et tu verras que par défaut tu as des services qui tournent (et oui un serveur DNS ce n'est pas QUE le service DNS) et des ports ouverts.
 
Un serveur patché peut être infecté, tout bonnement s'il est patché après l'infection. Ou s'il est infecté par un autre moyen que l'exploitation de la faille (partages par exemple).  
Ensuite ce que tu refuses de comprendre c'est qu'une intervention de l'utilisateur en local (par exemple le navigateur) n'est pas forcément nécessaire pour infecter un serveur. Mais là je ne peux pas l'expliquer mieux que précédemment.
 
"Je ne recommande pas d'installer d'AV" donc là je te cite, à la question "quels sont les serveurs sur lesquels il n'est pas utile d'installer un antivirus", tu réponds DC, serveurs applicatifs, serveurs métier, serveur mail...en gros tu considères que seuls les serveurs de fichiers sont à risque.
par contre oui un antivirus est une couche de protection parmi d'autres, il ne faut pas s'en contenter.