Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2894 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Suivante
Auteur Sujet :

[RESOLU] Rejoindre un domaine depuis une autre interface du Firewall

n°109081
ShonGail
En phase de calmitude ...
Posté le 03-04-2013 à 12:41:31  profilanswer
 

Reprise du message précédent :
Sans partage de fichiers, l'accès aux GPO va être de suite plus difficile ...
Ensuite avec un accès au port 389 d'un DC, tu peux t'authentifier dessus comme admin du domaine et modifier ce que tu veux dans AD.
 
Alors je le répète, y'a 0 sécu supplémentaire (dans le cas présent) à n'autoriser que certains ports et pas d'autres. Surtout lorsque les ports en question permettent l'accès à AD ...
 
Donc soit les users accèdent au DC en totalité, soit ils n'y accèdent pas du tout et on trouve d'autres solutions (autre domaine avec relation d'approbation, AD LDS, que sais-je d'autre encore).

mood
Publicité
Posté le 03-04-2013 à 12:41:31  profilanswer
 

n°109099
ChaTTon2
Je l'aime !
Posté le 03-04-2013 à 15:44:03  profilanswer
 

ShonGail a écrit :

Sans partage de fichiers, l'accès aux GPO va être de suite plus difficile ...


Je parlais des filer ... Tu sais qu'au travers d'un firewall tu peux filtrer les ip et donc, autoriser l'accès aux shares d'un serveur sans pour au temps ouvrir toute ton infra ?
 

ShonGail a écrit :

Ensuite avec un accès au port 389 d'un DC, tu peux t'authentifier dessus comme admin du domaine et modifier ce que tu veux dans AD.


J'émet un doute, mais soit. Il se connecte sur le DC et met son compte en ADMIN ... Et après ? Puisqu'au niveau firewall il ne pourra pas passer ailleurs (seul l'ip de destination DC est autorisée) et que RDP ne passe pas le firewall non plus ... Imaginons le pire des cas ! Il se met en ADMIN et bousille l'AD, ce qui serait je pense l'un des pire cas.
 
Déjà, le fait d'avoir un équipement filtrant et surtout qui LOG entre les deux, te permettra certainement de retrouver le coupable (ip source voir compte source utilisé si il y a authentification sur le Firewall).
 
Par contre si j'ai tout ouvert, alors il a bien plus de champs possible ... Par exemple ouvrir le serveur avec un logiciel tierce ... Comme installer à distance le serveur VNC ou autre ... Il peut ! Il est admin et toutes les communications sont ouvertes ... à partir de la il prends la main sur le serveur et peut, par exemple se connecter sur le serveur de messagerie, et consulter les BAL de tout le monde ...
 
J'aimerais bien que tu m'expliques ce que tu ferais pour contrecarrer cela, si tout est ouvert ... (Me parle pas de VLAN ... Dans son cas je suis d'accord que cela suffit ... Mais il n'en a pas ...)
 

ShonGail a écrit :

Alors je le répète, y'a 0 sécu supplémentaire (dans le cas présent) à n'autoriser que certains ports et pas d'autres. Surtout lorsque les ports en question permettent l'accès à AD ...


Je te répète que si avec des exemples précis de cas de figure possible ... La sécurité c'est prévenir le risque ... Pas se dire que ca va passer.
 

ShonGail a écrit :

Donc soit les users accèdent au DC en totalité, soit ils n'y accèdent pas du tout et on trouve d'autres solutions (autre domaine avec relation d'approbation, AD LDS, que sais-je d'autre encore).


RODC avec pleins de sécu locales ... Mais ca fait un point de plus à gérer ... Mais nous avons quelques cas, à l'étranger, dans cette situation.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°109103
ShonGail
En phase de calmitude ...
Posté le 03-04-2013 à 15:58:19  profilanswer
 

Franchement on ne doit pas faire le même boulot.
Moi ca me gonfle de réexpliquer des choses pourtant simple.
Alors gardez vos/certains users derrière des routages/firewall pour accéder à vos DC avec possibilité de niquer un AD mais pas de se connecter en RDP. Ouf l'honneur est sauf :heink:

n°109109
nckd
Steelers Nation
Posté le 03-04-2013 à 16:22:25  profilanswer
 

ShonGail, pas d'énervement, je suis d'accord que dans d'autre cas ta solution serais plus adéquate. Mais la je suis assez restreint de part le temps, les SFD, la politique de sécurité et autre paperasse.
Si je change quelque chose je vais devoir passer plus de temps à tout revalidé avec le RSSI et faire les tests qu'a avancer.

 

Bref, ça avance pour le moment c'est bien. Faut savoir être patient en informatique ;)

 

Bon a part ça, j'ai réussi a modifier la base de registre afin d'avoir un port statique pour le RPC.  
Maintenant, maintenant nouveau problème :

 

"Le mappeur de point final n'a plus de point final disponible."

 

Ce message s'affiche lors de la tentative d'entrée dans le domaine de la machine de la zone bleu.

 

hum, je mène mes recherches de mon coté. Si quelqu'un à une idée


Message édité par nckd le 03-04-2013 à 16:23:54

---------------
#80 WR, FS aux CFA Servals
n°109110
ShonGail
En phase de calmitude ...
Posté le 03-04-2013 à 16:29:12  profilanswer
 

Non mais je ne m'énerve pas, même si ca en donne l'impression :D
Mais je viens déjà de passer X temps à expliquer à un client en vain pourquoi installer un AV sur un SGBD, ça ne sert à rien et ça peut foutre en l'air les perfs. Son ultime argument : "je n'ai jamais vu un serveur sans AV" (j'ai pas osé lui dire qu'il n'avait peut-être pas connu grand chose). "Sans AV alors que le serveur est sur Internet (comprendre qu'il accède à Internet via NAT), c'est trop dangereux, le virus il peut s'installer comme il veut".
alors si c'est pour réitérer le même principe ici ... :/

Message cité 2 fois
Message édité par ShonGail le 03-04-2013 à 16:30:14
n°109111
nebulios
Posté le 03-04-2013 à 16:48:18  profilanswer
 

ShonGail a écrit :

Non mais je ne m'énerve pas, même si ca en donne l'impression :D
Mais je viens déjà de passer X temps à expliquer à un client en vain pourquoi installer un AV sur un SGBD, ça ne sert à rien


C'est une blague ? Ou tu dis ça sérieusement ?

n°109112
nckd
Steelers Nation
Posté le 03-04-2013 à 16:52:01  profilanswer
 

Moi il y a un AV mise a jour, avec un FW full closed. Il ya des clients genre "Boulet qui crois connaitre l'informatique". C'est les plus chians ;)
 
Bon toujours ce problème de Point final non disponible la. J'ai vu qu'il pourrait s agir d'un problème de service sur le serveur. C'est un peu vague et il ya l'air d'avoir pas mal de possibilité pour résoudre la cause du problème.  


---------------
#80 WR, FS aux CFA Servals
n°109113
ChaTTon2
Je l'aime !
Posté le 03-04-2013 à 16:53:03  profilanswer
 

ShonGail a écrit :

Non mais je ne m'énerve pas, même si ca en donne l'impression :D
Mais je viens déjà de passer X temps à expliquer à un client en vain pourquoi installer un AV sur un SGBD, ça ne sert à rien et ça peut foutre en l'air les perfs. Son ultime argument : "je n'ai jamais vu un serveur sans AV" (j'ai pas osé lui dire qu'il n'avait peut-être pas connu grand chose). "Sans AV alors que le serveur est sur Internet (comprendre qu'il accède à Internet via NAT), c'est trop dangereux, le virus il peut s'installer comme il veut".
alors si c'est pour réitérer le même principe ici ... :/


ah oui quand même ...


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°109114
ShonGail
En phase de calmitude ...
Posté le 03-04-2013 à 16:56:54  profilanswer
 

nebulios a écrit :


C'est une blague ? Ou tu dis ça sérieusement ?

 


Non ce n'est pas une blague et je sais qu'on pourrait en faire un topic a haut potentiel de fight.
Tout simplement parce qu'ici, on a d'aussi bons DBA que d'experts en sécu ...


Message édité par ShonGail le 03-04-2013 à 16:57:11
n°109115
nebulios
Posté le 03-04-2013 à 17:01:39  profilanswer
 

Faut quand même avoir des cojones pour sortir qu'un antivirus ne sert à rien sur un serveur :/
 
Mais effectivement mieux vaut créer un topic à part, histoire d'en finir avec cette légende urbaine.

mood
Publicité
Posté le 03-04-2013 à 17:01:39  profilanswer
 

n°109116
ShonGail
En phase de calmitude ...
Posté le 03-04-2013 à 17:06:41  profilanswer
 

nebulios a écrit :

Faut quand même avoir des cojones pour sortir qu'un antivirus ne sert à rien sur un serveur :/
 
Mais effectivement mieux vaut créer un topic à part, histoire d'en finir avec cette légende urbaine.


 
L'intérêt des corones, c'est que ça permet de ne pas se laisser aller au bêlement ambiant.
Mais ca n'interdit pas la subtilité. Aussi je n'ai pas dit "un serveur". Ça serait indéfendable.
J'ai dit "un SGBD".

n°109118
nebulios
Posté le 03-04-2013 à 17:11:31  profilanswer
 

Ah si tu connais des SGBD qui tournent sans OS ni réseau en dessous pourquoi pas  :D  
 
Bon je stop le HS car j'ai les nerfs à vif et je vais m'emballer.
On peut continuer en MP si tu veux.

n°109119
ShonGail
En phase de calmitude ...
Posté le 03-04-2013 à 17:23:18  profilanswer
 

Non je ne connais pas de SGBD sans OS ni réseau.
D'un autre coté, je ne connais pas non plus de virus aptes à infecter une machine par le seul port SQL en écoute ...
Mais t'as raison, c'est un autre sujet à discuter ailleurs :o

n°109121
nails
This.
Posté le 03-04-2013 à 17:33:45  profilanswer
 

ShonGail a écrit :

Non je ne connais pas de SGBD sans OS ni réseau.
D'un autre coté, je ne connais pas non plus de virus aptes à infecter une machine par le seul port SQL en écoute ...
Mais t'as raison, c'est un autre sujet à discuter ailleurs :o


Qui se lance?


---------------
ça c'est de la bullet
n°109122
ChaTTon2
Je l'aime !
Posté le 03-04-2013 à 17:38:18  profilanswer
 

nails a écrit :


Qui se lance?


Il a raison sur un point ... Ce n'est pas l'endroit :)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°109124
nckd
Steelers Nation
Posté le 03-04-2013 à 17:51:57  profilanswer
 

+1, je suis toujours en galère depuis 14h sur se probleme de mappeur final moi.  
Si quelqu'un a une piste, je suis preneur
 
Un gars a le même problème que moi a priori
http://www.justskins.com/forums/co [...] 39067.html


---------------
#80 WR, FS aux CFA Servals
n°109150
nckd
Steelers Nation
Posté le 04-04-2013 à 09:36:47  profilanswer
 

Tin j'ai post sur PhenIXUS, je me suis limite fais agressé... [:van_fanel:5] c'est super HFR a coté.  
Bref, coté problème a propos du mappeur de point final la je n'ai pas trop d'informations... Je sais que c'est en rapport avec le RPC, mais rien d'autre, et que c'est un service avec port Dynamique.
Pas d'autre info pour le moment, si vous avez des suggestions, elles seront les bienvenues.


Message édité par nckd le 04-04-2013 à 10:17:11

---------------
#80 WR, FS aux CFA Servals
n°109250
nckd
Steelers Nation
Posté le 05-04-2013 à 17:34:13  profilanswer
 

Bon j'ai peut être trouver la solution grâce à cela.
 
http://support.microsoft.com/kb/832017
 
En gros j'étais loin du compte avec mes ports, il m'en manque la moitié quasiment. J'ai donc refais ma matrice de flux en fonction du document et des services nécessaire au fonctionnement d'Active Directory. Je mets ça en place dès que j'ai le temps parce qu'il y a pas mal de taf.
 


---------------
#80 WR, FS aux CFA Servals
n°109251
ShonGail
En phase de calmitude ...
Posté le 05-04-2013 à 17:44:48  profilanswer
 

Quand tu auras ouverts et routés les 63000 ports nécessaires, n'oublie pas de vérifier que les 2500 restants sont bien clos :D
Question de sécu [:twixy]

n°109287
ChaTTon2
Je l'aime !
Posté le 08-04-2013 à 10:02:55  profilanswer
 

Il est vrai que vue le nombre de ports ... Le mieux, si tu peux, reste un RODC sur ton lan développeur avec simplement les comtpes des users de synchro.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°109330
nckd
Steelers Nation
Posté le 08-04-2013 à 17:46:47  profilanswer
 

Ce que je vais faire c'est ouvrir les ports jusqu’à se que ce que les machines puissent se connecter au domaine. Puis retirer les ports qui ne servent pas. Je veux juste qu'il puisse se connecter au domaine.  
Pour le RODC, ça aurais été plus simple c'est sur, mais ça ne fonctionne pas sur Win Server 2003 [:lapin_vert:5]
 
Le protocole RODC n'est apparut qu'a partir de win server 2008... Damn It !
 
je vous tiens au jus, je fais les tests demain normalement, j'ai une journée tranquille.


---------------
#80 WR, FS aux CFA Servals
n°109382
nckd
Steelers Nation
Posté le 09-04-2013 à 17:43:16  profilanswer
 

Alors j'ai une couille depuis que j'ai changé les clés de la base de registre du serveur.  
"Le mappeur de point final n'a plus de point final disponible." s'affiche meme pour un poste du même réseau. So Bad. obligé de refaire marche arrière. J'ai finalement eu une journée assez chargée.  
J’espère corrigé ce problème avant la fin de semaine...


---------------
#80 WR, FS aux CFA Servals
n°109397
nckd
Steelers Nation
Posté le 10-04-2013 à 12:24:29  profilanswer
 

Mission accompli ! J'ai changé le port dynamique du service Mappeur RPC. Et ça a fonctionné. J'ai également changé l'assignation des ports du GC et GC SSL en TCP au lieu de TCP/UDP. Sans cela ça ne fonctionne pas.

 

Voila je vais être confronté aux stratégies de groupe maintenant. A suivre...
 


Message édité par nckd le 10-04-2013 à 13:34:27

---------------
#80 WR, FS aux CFA Servals
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
Domaine(s?) Windows 2008Routage interface virtuelle Debian GNU/linux
Restrictions sur serveurs et sur postes pour un admin du domaineExchange avec un ancien domaine
[Domaine 2008] copier des fichiers sur postes client depuis un serveurConseil pour Firewall matériel entreprise
[RESOLU]Pb redirection NAT Firewall U250[?]Reseaux d'entreprise : Firewall Microsoft ? / Antivirus
Migration domaine 2003 vers 2012 
Plus de sujets relatifs à : [RESOLU] Rejoindre un domaine depuis une autre interface du Firewall


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR