Protéger en profondeur la pile TCP/IP de windows ?

Le
bigstyle
Bonjour,

je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-).
Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de
mes postes de travail (XP/2000) et serveurs (NT/2000/2003).

Je connais cet article Microsoft
http://support.microsoft.com/kb/315669/fr qui traite de la façon de
durcir davantage la pile TCP/IP.

Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le
contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce
genre de changements.
L'article ne traite pas des conséquences de telles modifications (en
terme de charge réseau supplémentaire), et je ne suis pas persuadé
qu'en suivant ces règles les postes seront à l'abri de déni de service.

Selon vous, ce genre de modifications sont utiles ?
Les avez-vous déjà mise en production et avez-vous des retours
d'experience à ce sujet ?

Avez-vous d'autres conseils ? :)

Merci

--

bigstyle
MVP Windows Server - Directory Services
MCSE 2000/2003 Security
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jacques Barathon [MS]
Le #493825
"bigstyle" news:
Bonjour,

je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-).
Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes
postes de travail (XP/2000) et serveurs (NT/2000/2003).

Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr
qui traite de la façon de durcir davantage la pile TCP/IP.

Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu
ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de
changements.
L'article ne traite pas des conséquences de telles modifications (en terme
de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant
ces règles les postes seront à l'abri de déni de service.


Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un
réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas
franchement besoin de les protéger contre un risque de déni de service.

Si tu crains une attaque sur ton réseau interne, regarde éventuellement du
côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il
existe de nombreuses docs en ligne sur le sujet, notamment le whitepaper de
l'informatique interne de Microsoft sur notre propre implémentation d'IPsec
(en anglais):
http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx

Jacques

bigstyle [MVP]
Le #493824
"bigstyle" news:
Bonjour,

je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-).
Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes
postes de travail (XP/2000) et serveurs (NT/2000/2003).

Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr
qui traite de la façon de durcir davantage la pile TCP/IP.

Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu
ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de
changements.
L'article ne traite pas des conséquences de telles modifications (en terme
de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant
ces règles les postes seront à l'abri de déni de service.


Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un
réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas
franchement besoin de les protéger contre un risque de déni de service.

Si tu crains une attaque sur ton réseau interne, regarde éventuellement du
côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il existe
de nombreuses docs en ligne sur le sujet, notamment le whitepaper de
l'informatique interne de Microsoft sur notre propre implémentation d'IPsec
(en anglais):
http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx

Jacques


Bonsoir Jacques,

merci de m'avoir répondu.
Certains serveurs sont directement exposés à Internet et d'autres sont
uniquement sur le LAN.

Pour IPsec, je suis tout à fait d'accord mais les mentalités actuelles
de la société où je me trouve actuellement ne vont pas me permettre de
mettre en place ce genre de protocole, aussi utile soit-il.

Quels inconvénients vois-tu à utiliser de l'IPSec sur l'ensemble du
réseau ? (charge processeur si ESP mais encore ? :D)

Est-ce que je dois comprendre par rapport à ta réponse que les
modifications indiquées dans la KB 315669 ne sont pas suffisantes ?

Merci Jacques

P.S: Je pars du principe que des attaques peuvent se produire en
interne ;-)

--

bigstyle
MVP Windows Server - Directory Services
MCSE 2000/2003 Security


Mathieu CHATEAU
Le #499710
Bonjour,

l'activation de ces paramètres n'aura pas de grande conséquence sur votre
réseau.
Le seul paramètre qui pourrait vous gêner est le "EnableDeadGWDetect" si
vous utilisez plusieurs passerelle par défaut (cas assez rare).

La vrai chose à faire, c'est estimer le risque d'une attaque de type dos sur
votre parc informatique. A mon avis, 99,99% de chance que ca n'arrive pas.
Par contre des virus ou vers, ca oui...



--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com
"bigstyle" news:
Bonjour,

je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-).
Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes
postes de travail (XP/2000) et serveurs (NT/2000/2003).

Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr
qui traite de la façon de durcir davantage la pile TCP/IP.

Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu
ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de
changements.
L'article ne traite pas des conséquences de telles modifications (en terme
de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant
ces règles les postes seront à l'abri de déni de service.

Selon vous, ce genre de modifications sont utiles ?
Les avez-vous déjà mise en production et avez-vous des retours
d'experience à ce sujet ?

Avez-vous d'autres conseils ? :)

Merci

--

bigstyle
MVP Windows Server - Directory Services
MCSE 2000/2003 Security




Mathieu CHATEAU
Le #499709
tout à fait d'accord, en revanche ipsec consomme des ressources, surtout
lorsque l'encryption des données est activé.

Je l'utilise surtout pour empêcher des machines hors domaine d'accéder à des
ressources du domaine (isolation).

Environ 5% de cpu sur des processeurs récents

--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com
"Jacques Barathon [MS]" news:%233c%
"bigstyle" news:
Bonjour,

je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-).
Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes
postes de travail (XP/2000) et serveurs (NT/2000/2003).

Je connais cet article Microsoft
http://support.microsoft.com/kb/315669/fr qui traite de la façon de
durcir davantage la pile TCP/IP.

Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le
contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce
genre de changements.
L'article ne traite pas des conséquences de telles modifications (en
terme de charge réseau supplémentaire), et je ne suis pas persuadé qu'en
suivant ces règles les postes seront à l'abri de déni de service.


Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un
réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas
franchement besoin de les protéger contre un risque de déni de service.

Si tu crains une attaque sur ton réseau interne, regarde éventuellement du
côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il
existe de nombreuses docs en ligne sur le sujet, notamment le whitepaper
de l'informatique interne de Microsoft sur notre propre implémentation
d'IPsec (en anglais):
http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx

Jacques



Publicité
Poster une réponse
Anonyme