Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
967 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Suivante
Auteur Sujet :

[Question conne] Antivirus et parfeu sur serveurs en production

n°90686
nebulios
Posté le 27-01-2012 à 19:37:00  profilanswer
 

Reprise du message précédent :
Un serveur a besoin de communiquer avec les autres pour plein de raisons : authentification auprès du domaine, synchronisation du temps etc... Si tu ne me crois pas installe un 2008 Core, et tu verras que par défaut tu as des services qui tournent (et oui un serveur DNS ce n'est pas QUE le service DNS) et des ports ouverts.
 
Un serveur patché peut être infecté, tout bonnement s'il est patché après l'infection. Ou s'il est infecté par un autre moyen que l'exploitation de la faille (partages par exemple).  
Ensuite ce que tu refuses de comprendre c'est qu'une intervention de l'utilisateur en local (par exemple le navigateur) n'est pas forcément nécessaire pour infecter un serveur. Mais là je ne peux pas l'expliquer mieux que précédemment.
 
"Je ne recommande pas d'installer d'AV" donc là je te cite, à la question "quels sont les serveurs sur lesquels il n'est pas utile d'installer un antivirus", tu réponds DC, serveurs applicatifs, serveurs métier, serveur mail...en gros tu considères que seuls les serveurs de fichiers sont à risque.
par contre oui un antivirus est une couche de protection parmi d'autres, il ne faut pas s'en contenter.

mood
Publicité
Posté le 27-01-2012 à 19:37:00  profilanswer
 

n°90689
ShonGail
En phase de calmitude ...
Posté le 27-01-2012 à 20:28:52  profilanswer
 

nebulios a écrit :

Un serveur a besoin de communiquer avec les autres pour plein de raisons : authentification auprès du domaine, synchronisation du temps etc... Si tu ne me crois pas installe un 2008 Core, et tu verras que par défaut tu as des services qui tournent (et oui un serveur DNS ce n'est pas QUE le service DNS) et des ports ouverts.
 
Un serveur patché peut être infecté, tout bonnement s'il est patché après l'infection. Ou s'il est infecté par un autre moyen que l'exploitation de la faille (partages par exemple).  
Ensuite ce que tu refuses de comprendre c'est qu'une intervention de l'utilisateur en local (par exemple le navigateur) n'est pas forcément nécessaire pour infecter un serveur. Mais là je ne peux pas l'expliquer mieux que précédemment.
 
"Je ne recommande pas d'installer d'AV" donc là je te cite, à la question "quels sont les serveurs sur lesquels il n'est pas utile d'installer un antivirus", tu réponds DC, serveurs applicatifs, serveurs métier, serveur mail...en gros tu considères que seuls les serveurs de fichiers sont à risque.
par contre oui un antivirus est une couche de protection parmi d'autres, il ne faut pas s'en contenter.


 
Tu ne confondrais pas connexions entrantes et sortantes sur un matériel ?
Ton serveur, il peut toujours sortir sur tous les ports souhaités pour se connecter à d'autres matériels sans en avoir lui-même un seul d'ouvert pour que des matériels distants s'y connectent.
 
Donc sur un serveur DNS, pour reprendre cet exemple, seul le port 53 peut être ouvert en entrée mais tous les autres en sortie. Le serveur pourra donc taper dans un AD, consulter lui-même un autre DNS, surfer sur le WEB, etc.
Dans cet exemple, Conficker, ou un autre, est inopérant pour se connecter au service fautif vu que le port sera bloqué en entrée (seul le 53 ne l'est pas).
 
Soyons déjà au moins OK sur cette base de la compréhension réseau avant de poursuivre. Sinon on ne va nul part.

n°90696
bardiel
Debian powa !
Posté le 28-01-2012 à 00:36:31  profilanswer
 

Le cas de confiker est intéressant, mais quid d'un virus qui s'en cogne des numéros de ports ouverts et fermés, du moment qu'il peut se transmettre ?


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°90697
Quich'Man
No Fat...
Posté le 28-01-2012 à 06:23:17  profilanswer
 

bardiel a écrit :

Le cas de confiker est intéressant, mais quid d'un virus qui s'en cogne des numéros de ports ouverts et fermés, du moment qu'il peut se transmettre ?


 
 
hein ? normalement un virus utilise une faille (et donc la faille d'un service et donc un port specifique)...  :jap:

n°90704
ShonGail
En phase de calmitude ...
Posté le 28-01-2012 à 10:29:30  profilanswer
 

bardiel a écrit :

Le cas de confiker est intéressant, mais quid d'un virus qui s'en cogne des numéros de ports ouverts et fermés, du moment qu'il peut se transmettre ?


 
Tant que le virus n'aura pas de petites pattes pour se glisser sous la porte de la salle serveurs, escalader la baie à la recherche d'un port USB accessible et être capable de s'auto-exécuter après une simple copie, va falloir qu'il se plie aux lois de l'informatique :o
 
Alors y'a pas 36 solutions.
Pour se copier et s’exécuter, il lui faut :
- un accès réseau et un process à l'écoute avec faille, authentification inexistante ou faible (et il ne peut pas s’exécuter dans chaque cas).
- un utilisateur qui va sciemment, ou non, le copier ET l'exécuter sur la machine (ou de manière indirecte via process système type auto-exécution des médias amovibles).

n°90712
nebulios
Posté le 28-01-2012 à 18:22:04  profilanswer
 

ShonGail a écrit :


 
Tu ne confondrais pas connexions entrantes et sortantes sur un matériel ?
Ton serveur, il peut toujours sortir sur tous les ports souhaités pour se connecter à d'autres matériels sans en avoir lui-même un seul d'ouvert pour que des matériels distants s'y connectent.
 
Donc sur un serveur DNS, pour reprendre cet exemple, seul le port 53 peut être ouvert en entrée mais tous les autres en sortie. Le serveur pourra donc taper dans un AD, consulter lui-même un autre DNS, surfer sur le WEB, etc.
Dans cet exemple, Conficker, ou un autre, est inopérant pour se connecter au service fautif vu que le port sera bloqué en entrée (seul le 53 ne l'est pas).
 
Soyons déjà au moins OK sur cette base de la compréhension réseau avant de poursuivre. Sinon on ne va nul part.


 
Le mieux c'est que je te laisse tester ça en prod : tu coupes tous les accès distants entrants sur ton serveur DNS sauf le 53 et tu vois si tu n'as aucun problème.

n°90713
Quich'Man
No Fat...
Posté le 28-01-2012 à 19:20:52  profilanswer
 

nebulios a écrit :


 
Le mieux c'est que je te laisse tester ça en prod : tu coupes tous les accès distants entrants sur ton serveur DNS sauf le 53 et tu vois si tu n'as aucun problème.


 
 
si c'est un DC oui ca va poser souci. Dans le cas d'un serveur Bnid qui ne ferait que ca, je pense que ca passerait :)

n°90714
ShonGail
En phase de calmitude ...
Posté le 28-01-2012 à 19:23:29  profilanswer
 

nebulios a écrit :

 

Le mieux c'est que je te laisse tester ça en prod : tu coupes tous les accès distants entrants sur ton serveur DNS sauf le 53 et tu vois si tu n'as aucun problème.

 

Euh ... mais quel problème veux-tu que j'ai ?
Y'a pas besoin de tests. Je le vis tous les jours sur des serveurs ouverts au public (ou pas). Seuls les ports correspondants à des services offerts par le serveur (HTTP, SMTP/POP/IMAP, LDAP, DNS, FTP, SMB, Etc.) sont ouverts.

 

Aujourd'hui, je suis intervenu sur un serveur qui héberge un ERP pour utilisation sur le réseau de l'entreprise, ben seul le port de l'ERP est ouvert (+ le 80 pour son client WEB). Ca n'empêche en rien le serveur de communiquer avec les autres serveurs de l'entreprise et de s'appuyer sur eux (DNS, DC notamment).


Message édité par ShonGail le 28-01-2012 à 19:45:33
n°90716
ShonGail
En phase de calmitude ...
Posté le 28-01-2012 à 19:44:49  profilanswer
 

Quich'Man a écrit :


 
 
si c'est un DC oui ca va poser souci. Dans le cas d'un serveur Bnid qui ne ferait que ca, je pense que ca passerait :)


 
Bind ou le serveur DNS de Windows si on veut que son Windows ne fasse que ça.
On peut aussi imaginer un DC qui ne serve qu'à l'authentification AD.
Mais bon c'est sûr que le DC de base sous Windows, y'a une foultitude de ports à laisser ouverts si on veut que les réplications, AD, DNS, Kerberos, le catalogue gloabl, etc. fonctionnent.

n°90745
denis_92
Posté le 30-01-2012 à 12:49:30  profilanswer
 

Merci pour toutes vos réponses enflammées ! :D
 
Pour mettre les choses au clair, les serveurs en production dans mon entreprise étaient sans mise à jour (depuis leur installation) et par feu désactivé.
 
Ma solution :
 
Dans un premier temps, j'ai activé le parfeu sur chaque serveur, et je laisse passer au fur à mesure des demandes pour l'accès au port, service...
 
J'ai ensuite installé un antivirus client sur chaque serveur.
 
Et enfin, j'ai mis en place un serveur WSUS qui appliquera les MAJ de sécurité et critique.
 
Donc je pense que l'antivirus est nécessaire dans mon cas, et j'ai très compris avec tous vos messages que l'antivirus n'est pas là pour dédouaner les sysadmin !
Il faut activer seulement les services utilisés et filtrer par le parfeu avant toute chose !
Et bien entendu configurer chaque service pour qu'il soit le plus sécurisé possible !

 
 :hello:


Message édité par denis_92 le 30-01-2012 à 12:50:41
mood
Publicité
Posté le 30-01-2012 à 12:49:30  profilanswer
 

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
Question sur sauvegarde AS400.Mémoire RAM pour serveurs Dell
Synchronisation entre serveurs physiques et virtuellesnombre de CAL TS pour plusieurs serveurs TS
Question bête - Difference entre adresse exchange et adresse hebergeurQuestion RAID.
probleme ping en lan entre serveursles salons sur les réseaux/télécommunications/serveurs en Europe
Plus de sujets relatifs à : [Question conne] Antivirus et parfeu sur serveurs en production


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR