Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2617 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Solution de chiffrement serveur

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Solution de chiffrement serveur

n°94553
sasuke001
Posté le 10-04-2012 à 21:22:14  profilanswer
 

Bonjour,
 
Je recherche une solution de chiffrement pour un serveur de base de données et un serveur de fichiers.
Les deux serveurs sont virtualisés sous VmWare, et sont des serveurs Windows.
Le but est de garantir la confidentialité contre tout accès physique à ces serveurs. (Les locaux sont sécurisés mais l'objectif est de garantir qu'aucune informations ne sortent.... d'aucune façons possibles...)
 
J'aurais voulu trouver une solution gratuite ou payante permettant de chiffrer ces serveurs.  
J'ai trouvé en recherchant sur le web TrueCrypt : http://www.truecrypt.org/
Ce soft me permet apparemment de chiffrer le système d'exploitation complet (j'ai testé sous une vm sur Windows xp).  
Avez-vous des retours à ce sujet?
 
J'ai aussi vu que VmWare possédait une fonction permettant de crypter les VM. Cependant je ne trouve aucune documentations à ce sujet.
 
J'ai aussi une interrogation :
Si un utilisateur du réseau souhaite accéder à la base de données à travers son logiciel de gestion. Celui-ci devra t-il s’authentifier pour déchiffrer la base?
Il faut que le chiffrement ne gène les utilisateurs du réseau en aucun cas ; que ce soit entièrement transparent pour eux.
 
Merci bien,  
 
Sasuke

mood
Publicité
Posté le 10-04-2012 à 21:22:14  profilanswer
 

n°94563
CK Ze CaRi​BoO
Posté le 11-04-2012 à 09:47:06  profilanswer
 

J'ai pas tout compris. Quel besoin de crypter un OS pour le protéger d'un accès physique ? (en plus ils sont virtuels tes serveurs donc tu veux protéger quoi ? ton esx ?)
Il y a un login mot de passe à entrer pour ouvrir une session sur un système, même si on s'y connecte en console, et il faut déjà s'être authentifié sur vSphere Client avant.


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°94564
Je@nb
Modérateur
Kindly give dime
Posté le 11-04-2012 à 10:20:05  profilanswer
 

Exemple tout con : Tu as un DC, on te le vole tu as accès aux mots de passe de tout le monde :o

n°94565
ShonGail
En phase de calmitude ...
Posté le 11-04-2012 à 10:23:12  profilanswer
 

Ah ?
Les mdp dans AD sont pas cryptés ?

n°94566
CK Ze CaRi​BoO
Posté le 11-04-2012 à 10:23:26  profilanswer
 

On te vole la machine virtuelle ? :D


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°94568
ShonGail
En phase de calmitude ...
Posté le 11-04-2012 à 10:25:46  profilanswer
 

sasuke001 a écrit :

Bonjour,

 

...

 

Merci bien,

 

Sasuke

 


Tu veux te prémunir d'un accès physique aux serveurs ?
Mais s'ils sont en DATACENTER, tu as déjà un contrôle restrictif des accès, non ?
Tu peux en plus mettre tes serveurs dans une baie avec serrure, non ?


Message édité par ShonGail le 11-04-2012 à 10:26:01
n°94569
Je@nb
Modérateur
Kindly give dime
Posté le 11-04-2012 à 10:27:09  profilanswer
 

ShonGail a écrit :

Ah ?
Les mdp dans AD sont pas cryptés ?


 
Ca se déchiffre pas difficilement
 

CK Ze CaRiBoO a écrit :

On te vole la machine virtuelle ? :D


 
Bah c'est encore plus simple qu'un serveur physique puisqu'il suffit de chopper un fichier ...
 
Et le comble c'est que tu réinitialises un mdp admins, tu refous la VM sur le réseau et zou ça réplique ...

n°94570
CK Ze CaRi​BoO
Posté le 11-04-2012 à 10:28:27  profilanswer
 

lol mais tu sais qu'on n'utilise pas un livecd pour péter l'admin d'un domaine non ?


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°94571
Je@nb
Modérateur
Kindly give dime
Posté le 11-04-2012 à 10:31:35  profilanswer
 

Pas besoin tu montes le disque virtuel :o

n°94572
CK Ze CaRi​BoO
Posté le 11-04-2012 à 10:35:39  profilanswer
 

Okay et donc tu veux aller ouvrir le ntds.dit comme ça sans authentification et lire ce qu'il y a dedans :D


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
mood
Publicité
Posté le 11-04-2012 à 10:35:39  profilanswer
 

n°94573
Je@nb
Modérateur
Kindly give dime
Posté le 11-04-2012 à 10:40:19  profilanswer
 

A vérifier mais ça doit être possible oui http://www.elcomsoft.com/esr.html en 2 sec sur google

n°94574
CK Ze CaRi​BoO
Posté le 11-04-2012 à 10:46:02  profilanswer
 

Moi je crois que tu vas obtenir un hash et tu sauras rien en faire :x


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°94575
Je@nb
Modérateur
Kindly give dime
Posté le 11-04-2012 à 10:54:10  profilanswer
 

un ptit ophcrack et ça devrait être bon je dirais.
 
J'ai eu plusieurs echo du support MS ayant des call en sev A pour des histoires de vols de DC où la boite appel en toute urgence le support premier pour savoir quoi faire suite a la détection que :
- un dc était volé
- les mdp admins étaient corrompus/inutilisables
 
donc j'imagine bien que c'est possible.

n°94576
CK Ze CaRi​BoO
Posté le 11-04-2012 à 11:00:38  profilanswer
 

Pas encore trouvé d'exemple concret de compromission via vol de DC perso.


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°94577
Je@nb
Modérateur
Kindly give dime
Posté le 11-04-2012 à 11:18:59  profilanswer
 

Article intéressant sur ce qu'il faut faire si on te vole un DC : http://blog.joeware.net/2006/09/05/593/ (bon un peu daté mais Steve Riley reste une référence dans le domaine de la sécurité, surtout sur les infras MS

n°94578
ShonGail
En phase de calmitude ...
Posté le 11-04-2012 à 11:29:02  profilanswer
 

Je@nb a écrit :

un ptit ophcrack et ça devrait être bon je dirais.
 
J'ai eu plusieurs echo du support MS ayant des call en sev A pour des histoires de vols de DC où la boite appel en toute urgence le support premier pour savoir quoi faire suite a la détection que :
- un dc était volé
- les mdp admins étaient corrompus/inutilisables
 
donc j'imagine bien que c'est possible.


 
Donc du brute force.
Si les mdp des comptes admin sont complexes, non logiques et alphanumériques, ca risque de ne jamais aboutir.

n°94583
Je@nb
Modérateur
Kindly give dime
Posté le 11-04-2012 à 11:43:24  profilanswer
 

rainbow tables, j'ai pas de tête mais je crois que ophcrack fait les mdp jusqu'à 14 caractères complexes

n°94584
CK Ze CaRi​BoO
Posté le 11-04-2012 à 12:13:37  profilanswer
 

ophcrack d'après la description ça "décrypte" (je crois vraiment pas que le mot soit approprié :lol:) des hashs lm vieux de windows 95.
Les hashs lm sont par défaut encore autorisés sur les AD 2003 mais tout domaine correctement configuré les a bannis depuis longtemps.
Ca marche pas sur un AD :o


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°94585
Je@nb
Modérateur
Kindly give dime
Posté le 11-04-2012 à 12:20:56  profilanswer
 

C'est pour ça que à côté de LM, tu as NTLM sur la page de présentation ...  "Cracks LM and NTLM hashes."

n°94586
CK Ze CaRi​BoO
Posté le 11-04-2012 à 12:25:49  profilanswer
 

ntlm la première version d'il y a 12 ans ? :D


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°94588
Je@nb
Modérateur
Kindly give dime
Posté le 11-04-2012 à 12:33:56  profilanswer
 

Si le soft marche sur Vista je te laisse deviner ...
Tu es même pas foutu de lire la page de présentation du soft et tu essaies de nier l'évidence qu'une fois que tu as accès à un DC ton infra AD entière est comprise. Il vaut mieux essayer de se protéger que d'essayer de nier ... :o

n°94590
ShonGail
En phase de calmitude ...
Posté le 11-04-2012 à 12:40:30  profilanswer
 

De toutes façons, à partir du moment où on a un accès physique au DC, inutile de vouloir cracker un mdp d'un compte admin du domaine.
Il est bcp plus rapide de le réinitialiser.

n°94591
CK Ze CaRi​BoO
Posté le 11-04-2012 à 12:41:19  profilanswer
 

La page de présentation du soft est bloquée chez moi donc je me débrouille avec les pages annexes, qui sont pas d'une limpidité absolue spécialement concernant les mots de passe d'un AD.
 
Fin bref bon courage à l'OP pour restaurer son DC crypté, et n'oublie pas de sauvegarder la clé privée autre part que sur ta clé USB perso :lol:


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°94595
vrobaina
Hecho a Mano
Posté le 11-04-2012 à 13:33:45  profilanswer
 

Pou Voler une VM, il n'y a pas 50 possibilités  "à la louche" :  
 
1) Accéder physiquement au serveur ESX et lui voler ses disques et l'on prendra soin de les remonter sur un serveur equivalent ( attention a la gestion du raid).
 
2) Accéder physiquement au serveur ESX, lui plugger un disque externe (que l'on montera) dans un datastore, connaitre le login et le mot de passe admin et faire un snapshot ou un backup de la VM.
 
3) Accéder aux sauvegardes (bandes de backup par exemple) et redescendre ce backup sur un serveur identique après le voleur a tout le temps pour peter le mot de passe  
 
4) Via le réseau et en utilisant le Client VIC mais il faut connaitre le couple login/mdp de l'ESX
 
5) Via le réseau en utilisant VMWare vCenter Converter mais il faut connaitre le couple login/mdp de l'ESX
 
 
Bref dans la majorité des cas il faudra connaitre le login et le mot de passe de l'ESX.   Donc à vous de bien bétonner le mot de passe de celui-ci. Ensuite dès qu'une tentative d'intrusion (physique ou via lan) est détectée, il faut impérativement changer l'ensemble des mots de passe des comptes "sensibles".  
 
Et biensurs avoir une politique de gestion des mots de passe (complexité durée de vie....etc...)   pour les  admin ET les utilisateur.
 
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
n°94596
vrobaina
Hecho a Mano
Posté le 11-04-2012 à 13:34:18  profilanswer
 

ShonGail a écrit :

De toutes façons, à partir du moment où on a un accès physique au DC, inutile de vouloir cracker un mdp d'un compte admin du domaine.
Il est bcp plus rapide de le réinitialiser.


 
exactement


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
n°94640
sasuke001
Posté le 11-04-2012 à 21:26:22  profilanswer
 

Je dois rendre les données inaccessibles aux administrateurs systèmes. Ils doivent pouvoir administrer les serveurs sans pour autant avoir accès aux données...

n°94643
nebulios
Posté le 11-04-2012 à 21:39:11  profilanswer
 

CK Ze CaRiBoO a écrit :

ophcrack d'après la description ça "décrypte" (je crois vraiment pas que le mot soit approprié :lol:) des hashs lm vieux de windows 95.
Les hashs lm sont par défaut encore autorisés sur les AD 2003 mais tout domaine correctement configuré les a bannis depuis longtemps.
Ca marche pas sur un AD :o


Y a que Kerberos qui n'a pas encore été cracké, LM/NTLMv1/NTLMv2 ça se pète relativement facilement.

n°94770
trictrac
Posté le 14-04-2012 à 21:32:26  profilanswer
 

Bien sur. C'est d'ailleurs .e but des rodc...

n°94823
tirk
Posté le 17-04-2012 à 09:44:18  profilanswer
 

sasuke001 a écrit :

Je dois rendre les données inaccessibles aux administrateurs systèmes. Ils doivent pouvoir administrer les serveurs sans pour autant avoir accès aux données...


 
Salut,
 
Si tu trouves une solution générale/universelle, ça m'intéresse, mes clients me demandent la même chose.
 
Jusqu'à présent, je suis capable de protéger les données contre le vol physique (du serveur, du storage, des backups, via encryption du storage en question) mais protéger les données contre moi même, je cherche encore ...
 
A+

n°94858
zahir10
Posté le 17-04-2012 à 14:24:28  profilanswer
 

Bonjour a tous  
 
il existe une solution peu présente sur le marché francais crée par Thales
TEMS ( Thales encryptions manger for storage)  
cela cryptes les data sur bande ou bien sur la baie.
 
Autre solution pour crypter les data sur le stockage , les boitiers Decru Datafort ( racheter par Netapp)

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Solution de chiffrement serveur

 

Sujets relatifs
Choix d'une solution UTM[Résolu]Question existencielle serveur TSE/GPO
Routeur DHCP ou Serveur DHCPAdresse et masque non valides dans win serveur 2008....
serveur dhcp win serv 2008 et les filtres d'entrées[RESOLU] Pb : Les mises à jour sur serveur 2008 ne se font plus
[RESOLU] Table de routage windows serveur 2008Changer Licence Serveur 2003R2
Plus de sujets relatifs à : Solution de chiffrement serveur


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR