Reprise du message précédent :
Et surtout avoir des trucs installés de façon à peu près uniforme.
Quelle plaie de voir des installations faites n'importe comment "mais j'ai vu un tuto qui disait de désactiver le firewall pour faciliter le boulot", et autres partitions de l'espace, sans parler de "ah ben oui, j'ai mis le démarrage de apache en manuel. Robertdu45 dit que c'est indispensable"...

Full Suse ici  

Les collègues qui gèrent le SMT qui veulent pas activer les licences sur les machines de PoC.  

J'ai monté un serveur PXE + preseed pour Debian Buster  

CentOS avec selinux + firewall off  

Pareil pare feu Windows...  

Attends on teste... Ah oui c'est le pare-feu qui bloque... Bon bah ça fonctionne, laisse le off...  

J'ai eu tonnage de suse, j'ai bien aimé.

 
 
Je comprends pas j'ai tjs désactivé le pare-feu sur l os et laissé l'équipe réseau mettre en place les règles sur les équipements dédiés

Et tous tes serveurs sont sur le même vlan ?
Meilleur moyen de faire un mouvement latéral

Tu fais des pas chassés dans salle serveur ?

en esquivant les murs enflammés qui essayent de t'encercler

Tu as un tout petit peu de retard a combler en terme de sécurité je pense.
Ça permet d'éviter les mouvements latéraux, ça s'appelle de la défense en profondeur.
Et "j'y connais rien", c'est loin d'être une excuse valable. Si tu installe et configure des serveurs, savoir quel port doit écouter et depuis où il va recevoir des requêtes, ça fait partie de ton taff.

Il manque un redface nan ?

Ah Ouais chaud la.

Défonce en profondeur  

 
Non

Mais tu fais pas non plus de micro segmentation donc t'es a risque

Faut 1 VLAN par serveur ?
1 interface PtP par serveur sur le routeur ?  
des tables FW par millards ?

tu as des solutions plus intelligentes en vrai ou tu gères ça côté serveur

faire confiance à un firewall serveur ? ah bravo

défense en profondeur on t'a dit

Ça fait peur  

Micro segmentation, /32+1vlan par serveur, y'a plein de solutions si tu veux isoler complètements tes serveurs, mais c'est souvent plus lourd/complexe/cher que de gérer du firewalling sur l'hôte et sur le réseau.

Arrêtez ce débat  

Recommandations ANSSI ce truc... La moindre audit de sécurité t'alignera sur ça. Et même sous Linux Xat

Absolument

J'ai un pb sur Skype depuis la semaine derniere, avez vous déjà eux ce genre de pb:

• ma boite est sur Skype entreprise (licence O365)
• on bosse énormément avec l’éditeur de notre progiciel via skype. Il sont basé en Tunisie et depuis la semaine dernière on vois tout leurs employé en "présence inconnue" et quand on envoi un message texte, il nous dis qu'il ne peut pas l'envoyer.

Avez vous déjà eu ce soucie ?

Et eux ils sont sur quoi ?
Vous êtes en quel type de fédération ?

 
 
il sont en Skype entreprise  pour le reste je sais pas, je vais remonter l'information à la maison maire qui gère Skype/O365
 

 
De mémoire, il n'y a pas forcément besoin de fédération pour que des skype entreprises échangent entre eux, surtout sur o365.
 
Je@nb, as-tu d'autres sociétés avec qui vous bossez de la même façon ?
C'est le meilleur moyen de tester et savoir si le pb vient de vous / eux / MS ...

bon je crois qu'on a trouvé, la sécu à fermé pas mal de truc exactement le jour de l'arrêt du truc.

802.1q ? old school

Je suis l'Etat, l'audit on s'en branle

 
L'Etat doit suivre les recommandations de l'ANSSI

C'est une nouvelle norme wifi ça ?

probleme d'office ce matin. J'ai fini par faire une reinstallation complete, qui a en fait désinstallé, mais pas réinstallé..
 
Et maintenant, il veut pas installer (office 365 ) car le setup telechargé n'a pas la bonne signature

lol

ça va je viens de me réveiller

lol

 
Hop trop tard  

Bah ça isole pas chaque machine. A la limite, t'a private Vlan pour ça.

Ah faut voir avec Plam pour ça

Quand tu as 2 machines qui ont du private vlan configuré, mais qui doivent communiquer ensemble pour une raison X, tu fais comment ?  
- activer l'ARP proxy, pour forcer le trafic de chaque machine à remonter via la gateway par défaut (firewall), ça me semble être une mauvaise pratique (c'est toujours une mauvaise pratique l'ARP proxy )  
- mauvais design, les machines ne devraient pas se causer directement justement (but d'avoir mis du pvlan) , mais plutôt passer via un intermédiaire ou une autre IP  
- autre solution ?  
 
Je vois bien le concept de private vlan, c'est comme le guest isolation en wifi, mais j'ai du mal à me représenter un cas concret d'utilisation pour des machines câblées (à part un cyber-café, ce genre de trucs en environnement hostile non-trusté), encore moins pour des serveurs

je suis vachement emmerdé.
Heureusement que la fille est aux bureaux, et qu'elles sont que deux  pour 5 pcs (dans leur service), donc la elle va en utiliser un autre, mais va falloir trouver une solution

Je serai assez pour tout réinstaller (windows inclus), sauf que ca, finit le TT, et enplus  y a un EBP a remettre en place (au minimum)

Truc m arrant, c'est que le symptome initial, c'etait "Adobe Reader veut plus imprimer", et que la aussi, une fois désintallé, il veut plus non plus se reinstaller car "il y a une version plus recente"

- Mauvais design.

En gros, c'est complètement adapté pour des :
- réseaux d'admin/de management, où tout cause avec les bastions/consoles d'admin mais pas entre eux
- les réseaux de serveurs web qui causent a un RP et un serveur de DB

C'est pas du tout adapté à un SAN par exemple. Ou un glusterFS, ou un réseaux avec du vmotion

Merci