soit les faits:
un LAN et des desktops proteges par un firewall et un antivirus.
des ordinateurs portables qui se promenent sur l'interieur du LAN
et sur l'exterieur. Reseau PC windows / mac. (postes linux anecdotiques
et non concernes par cette histoire.)
Ces portables sont (helas) pretes et/ou connectes sur internet en direct
(internetbox quelconque depuis le domicile) et reviennent avec un ou
plusieurs virus.
Ces portables, sur demande des utilisateurs, tiennent absolument
a etre sur le meme LAN que les desktops.
Quelles solutions _techniques_ peut on apporter?
-un confinement du portable lors de sa premiere connexion sur le LAN
jusqu'a une validation de son etat sain.
-> quelles solutions pour quels prix?
-un acces distant sur internet uniquement par VPN afin qu'ils se
retrouvent virtuellement sur le LAN et benficient du firewall,
de l'antivirus, etc..
-> quelles solutions et quels prix?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Philippe Le Van
Ces portables sont (helas) pretes et/ou connectes sur internet en direct (internetbox quelconque depuis le domicile) et reviennent avec un ou plusieurs virus. Ces portables, sur demande des utilisateurs, tiennent absolument a etre sur le meme LAN que les desktops. Quelles solutions _techniques_ peut on apporter?
Bonjour,
Je vais enfoncer une porte ouverte, mais à vue de nez, on peut déjà mettre un antivirus sur chaque portable...
Pour le budget, cf les licences de Avast, Norton ou autre Panda...
Cordialement, Philippe Le Van
Ces portables sont (helas) pretes et/ou connectes sur internet en
direct
(internetbox quelconque depuis le domicile) et reviennent avec un ou
plusieurs virus.
Ces portables, sur demande des utilisateurs, tiennent absolument
a etre sur le meme LAN que les desktops.
Quelles solutions _techniques_ peut on apporter?
Bonjour,
Je vais enfoncer une porte ouverte, mais à vue de nez, on peut déjà
mettre un antivirus sur chaque portable...
Pour le budget, cf les licences de Avast, Norton ou autre Panda...
Ces portables sont (helas) pretes et/ou connectes sur internet en direct (internetbox quelconque depuis le domicile) et reviennent avec un ou plusieurs virus. Ces portables, sur demande des utilisateurs, tiennent absolument a etre sur le meme LAN que les desktops. Quelles solutions _techniques_ peut on apporter?
Bonjour,
Je vais enfoncer une porte ouverte, mais à vue de nez, on peut déjà mettre un antivirus sur chaque portable...
Pour le budget, cf les licences de Avast, Norton ou autre Panda...
Cordialement, Philippe Le Van
Fabien LE LEZ
On 11 Jan 2007 14:32:49 GMT, Kevin Denis :
Ces portables sont (helas) pretes et/ou connectes sur internet en direct (internetbox quelconque depuis le domicile) et reviennent avec un ou plusieurs virus.
Déjà, faudrait penser à protéger ces machines : firewall, anti-virus, compte utilisateur limité, etc.
Ces portables, sur demande des utilisateurs, tiennent absolument a etre sur le meme LAN que les desktops.
Ça, c'est pas possible. De toutes façons, il n'y a pas spécialement d'intérêt à ce que n'importe quoi passe d'une machine à l'autre.
Commence par définir ce que tu veux autoriser exactement : échange de fichiers entre deux postes de travail ? Échange de fichiers entre un portable et un serveur ?
Doit-il s'agir du même réseau physique (comprendre : paires de cuivre), ou peux-tu séparer les câbles ? Dans le premier cas, il faudra régler le firewall des stations de travail.
Quelles solutions _techniques_ peut on apporter?
Électrocution des coupables ?
-un confinement du portable lors de sa premiere connexion sur le LAN jusqu'a une validation de son etat sain.
Si un portable a été dans un environnement douteux, il doit AMHA être considéré comme dangereux tant que Windows n'a pas été réinstallé. D'ailleurs, réinstaller Windows automatiquement (avec un truc style Ghost) dès le retour du portable, serait AMHA une bonne idée.
Au bureau, je suis en train d'expérimenter la configuration suivante :
J'ai une machine Linux qui sert de passerelle entre le réseau "externe" (qui comprend le routeur ADSL, le point d'accès Wifi pour les portables, et d'une manière générale toutes les machines "non fiables"), et le réseau "interne" (qui relie les stations de travail).
Sur le portable qui doit accéder au réseau interne, j'ai mis OpenVPN. Plusieurs avantages : - La passerelle peut identifier le portable en question, et ne pas laisser passer de paquets venant d'autres portables. - Le portable refuse toute connexion entrante sur l'interface réseau "physique", sauf les paquets UDP d'OpenVPN. Ainsi, si un paquet IP réussit à entrer, on est sûr qu'il vient de la passerelle, i.e. d'une machine fiable. Si le portable est branché sur un autre réseau (à la maison, chez un client, etc.), il n'accepte aucune connexion entrante. - Je contrôle finement l'accès du portable au réseau interne. En fait, je n'autorise que les connexions vers le serveur de fichiers (Linux+Samba). La connexion entre ce serveur et le portable se fait sur l'interface réseau virtuelle OpenVPN, donc est autorisée par le firewall du portable.
En théorie, je peux aussi permettre l'accès du portable au réseau via Internet, mais je n'ai pas encore mis ça en place, faute d'utilité.
On 11 Jan 2007 14:32:49 GMT, Kevin Denis <kevin@nowhere.invalid>:
Ces portables sont (helas) pretes et/ou connectes sur internet en direct
(internetbox quelconque depuis le domicile) et reviennent avec un ou
plusieurs virus.
Déjà, faudrait penser à protéger ces machines : firewall, anti-virus,
compte utilisateur limité, etc.
Ces portables, sur demande des utilisateurs, tiennent absolument
a etre sur le meme LAN que les desktops.
Ça, c'est pas possible.
De toutes façons, il n'y a pas spécialement d'intérêt à ce que
n'importe quoi passe d'une machine à l'autre.
Commence par définir ce que tu veux autoriser exactement : échange de
fichiers entre deux postes de travail ? Échange de fichiers entre un
portable et un serveur ?
Doit-il s'agir du même réseau physique (comprendre : paires de
cuivre), ou peux-tu séparer les câbles ?
Dans le premier cas, il faudra régler le firewall des stations de
travail.
Quelles solutions _techniques_ peut on apporter?
Électrocution des coupables ?
-un confinement du portable lors de sa premiere connexion sur le LAN
jusqu'a une validation de son etat sain.
Si un portable a été dans un environnement douteux, il doit AMHA être
considéré comme dangereux tant que Windows n'a pas été réinstallé.
D'ailleurs, réinstaller Windows automatiquement (avec un truc style
Ghost) dès le retour du portable, serait AMHA une bonne idée.
Au bureau, je suis en train d'expérimenter la configuration suivante :
J'ai une machine Linux qui sert de passerelle entre le réseau
"externe" (qui comprend le routeur ADSL, le point d'accès Wifi pour
les portables, et d'une manière générale toutes les machines "non
fiables"), et le réseau "interne" (qui relie les stations de travail).
Sur le portable qui doit accéder au réseau interne, j'ai mis OpenVPN.
Plusieurs avantages :
- La passerelle peut identifier le portable en question, et ne
pas laisser passer de paquets venant d'autres portables.
- Le portable refuse toute connexion entrante sur l'interface
réseau "physique", sauf les paquets UDP d'OpenVPN. Ainsi, si un paquet
IP réussit à entrer, on est sûr qu'il vient de la passerelle, i.e.
d'une machine fiable. Si le portable est branché sur un autre réseau
(à la maison, chez un client, etc.), il n'accepte aucune connexion
entrante.
- Je contrôle finement l'accès du portable au réseau interne. En
fait, je n'autorise que les connexions vers le serveur de fichiers
(Linux+Samba). La connexion entre ce serveur et le portable se fait
sur l'interface réseau virtuelle OpenVPN, donc est autorisée par le
firewall du portable.
En théorie, je peux aussi permettre l'accès du portable au réseau via
Internet, mais je n'ai pas encore mis ça en place, faute d'utilité.
Ces portables sont (helas) pretes et/ou connectes sur internet en direct (internetbox quelconque depuis le domicile) et reviennent avec un ou plusieurs virus.
Déjà, faudrait penser à protéger ces machines : firewall, anti-virus, compte utilisateur limité, etc.
Ces portables, sur demande des utilisateurs, tiennent absolument a etre sur le meme LAN que les desktops.
Ça, c'est pas possible. De toutes façons, il n'y a pas spécialement d'intérêt à ce que n'importe quoi passe d'une machine à l'autre.
Commence par définir ce que tu veux autoriser exactement : échange de fichiers entre deux postes de travail ? Échange de fichiers entre un portable et un serveur ?
Doit-il s'agir du même réseau physique (comprendre : paires de cuivre), ou peux-tu séparer les câbles ? Dans le premier cas, il faudra régler le firewall des stations de travail.
Quelles solutions _techniques_ peut on apporter?
Électrocution des coupables ?
-un confinement du portable lors de sa premiere connexion sur le LAN jusqu'a une validation de son etat sain.
Si un portable a été dans un environnement douteux, il doit AMHA être considéré comme dangereux tant que Windows n'a pas été réinstallé. D'ailleurs, réinstaller Windows automatiquement (avec un truc style Ghost) dès le retour du portable, serait AMHA une bonne idée.
Au bureau, je suis en train d'expérimenter la configuration suivante :
J'ai une machine Linux qui sert de passerelle entre le réseau "externe" (qui comprend le routeur ADSL, le point d'accès Wifi pour les portables, et d'une manière générale toutes les machines "non fiables"), et le réseau "interne" (qui relie les stations de travail).
Sur le portable qui doit accéder au réseau interne, j'ai mis OpenVPN. Plusieurs avantages : - La passerelle peut identifier le portable en question, et ne pas laisser passer de paquets venant d'autres portables. - Le portable refuse toute connexion entrante sur l'interface réseau "physique", sauf les paquets UDP d'OpenVPN. Ainsi, si un paquet IP réussit à entrer, on est sûr qu'il vient de la passerelle, i.e. d'une machine fiable. Si le portable est branché sur un autre réseau (à la maison, chez un client, etc.), il n'accepte aucune connexion entrante. - Je contrôle finement l'accès du portable au réseau interne. En fait, je n'autorise que les connexions vers le serveur de fichiers (Linux+Samba). La connexion entre ce serveur et le portable se fait sur l'interface réseau virtuelle OpenVPN, donc est autorisée par le firewall du portable.
En théorie, je peux aussi permettre l'accès du portable au réseau via Internet, mais je n'ai pas encore mis ça en place, faute d'utilité.
Vincent Bernat
OoO En ce début d'après-midi ensoleillé du jeudi 11 janvier 2007, vers 15:32, Kevin Denis disait:
-un confinement du portable lors de sa premiere connexion sur le LAN jusqu'a une validation de son etat sain. -> quelles solutions pour quels prix?
Oui. En partant du principe que tu veux céder à la demande des utilisateurs, tu peux placer le portable arrivant sur ton LAN dans un VLAN spécial bridgé par un Linux équipé d'un IDS qui va surveiller le portable tout en lui permettant un accès basique (web, mail) de façon à ce que l'utilisateur ne se doute de rien. En quelques minutes, ton IDS te dira si le portable est infecté ou non et tu pourras le déplacer dans le VLAN des desktops.
Je dis IDS, mais tu peux utiliser d'autres techniques. Un Windows mal patché dans une machine virtuelle par exemple. Il ne sera présent que dans le VLAN de quarantaine. S'il se fait infecter, c'est que quelqu'un dans le VLAN de quarantaine a un virus. Tu peux aussi scanner la machine. Ou autre. -- BOFH excuse #59: failed trials, system needs redesigned
OoO En ce début d'après-midi ensoleillé du jeudi 11 janvier 2007, vers
15:32, Kevin Denis <kevin@nowhere.invalid> disait:
-un confinement du portable lors de sa premiere connexion sur le LAN
jusqu'a une validation de son etat sain.
-> quelles solutions pour quels prix?
Oui. En partant du principe que tu veux céder à la demande des
utilisateurs, tu peux placer le portable arrivant sur ton LAN dans un
VLAN spécial bridgé par un Linux équipé d'un IDS qui va surveiller le
portable tout en lui permettant un accès basique (web, mail) de façon
à ce que l'utilisateur ne se doute de rien. En quelques minutes, ton
IDS te dira si le portable est infecté ou non et tu pourras le
déplacer dans le VLAN des desktops.
Je dis IDS, mais tu peux utiliser d'autres techniques. Un Windows mal
patché dans une machine virtuelle par exemple. Il ne sera présent que
dans le VLAN de quarantaine. S'il se fait infecter, c'est que
quelqu'un dans le VLAN de quarantaine a un virus. Tu peux aussi
scanner la machine. Ou autre.
--
BOFH excuse #59:
failed trials, system needs redesigned
OoO En ce début d'après-midi ensoleillé du jeudi 11 janvier 2007, vers 15:32, Kevin Denis disait:
-un confinement du portable lors de sa premiere connexion sur le LAN jusqu'a une validation de son etat sain. -> quelles solutions pour quels prix?
Oui. En partant du principe que tu veux céder à la demande des utilisateurs, tu peux placer le portable arrivant sur ton LAN dans un VLAN spécial bridgé par un Linux équipé d'un IDS qui va surveiller le portable tout en lui permettant un accès basique (web, mail) de façon à ce que l'utilisateur ne se doute de rien. En quelques minutes, ton IDS te dira si le portable est infecté ou non et tu pourras le déplacer dans le VLAN des desktops.
Je dis IDS, mais tu peux utiliser d'autres techniques. Un Windows mal patché dans une machine virtuelle par exemple. Il ne sera présent que dans le VLAN de quarantaine. S'il se fait infecter, c'est que quelqu'un dans le VLAN de quarantaine a un virus. Tu peux aussi scanner la machine. Ou autre. -- BOFH excuse #59: failed trials, system needs redesigned
Fabien LE LEZ
On 12 Jan 2007 17:28:53 GMT, Vincent Bernat :
En quelques minutes, ton IDS te dira si le portable est infecté ou non
Et si c'est une cochonnerie qui ne s'active que trois heures après le démarrage du système ?
On 12 Jan 2007 17:28:53 GMT, Vincent Bernat <bernat@luffy.cx>:
En quelques minutes, ton
IDS te dira si le portable est infecté ou non
Et si c'est une cochonnerie qui ne s'active que trois heures après le
démarrage du système ?
En quelques minutes, ton IDS te dira si le portable est infecté ou non
Et si c'est une cochonnerie qui ne s'active que trois heures après le démarrage du système ?
Jeremy JUST
Le 11 Jan 2007 14:32:49 GMT,
Ces portables, sur demande des utilisateurs, tiennent absolument a etre sur le meme LAN que les desktops.
Pourquoi demandent-ils ça? Pour moi, le fait d'être dans le même sous-réseau/VLAN est un aspect technique qui ne les regarde pas. Tout ce qu'ils ont à demander, c'est « je veux pouvoir me connecter à tel serveur pour faire telle ou telle chose, je veux pouvoir partager des fichiers avec untel... ».
Quelles solutions _techniques_ peut on apporter?
Il me semble impératif de distinguer ces machines mobiles des machines fixes, en les mettant dans un VLAN distinct. Les règles de filtrage que tu leur appliqueras seront plus strictes, par exemple: - envoi direct de mails interdit (passage obligé par ton SMTP interne), - connexions entrantes depuis l'extérieur vers ces machines interdites si possible, ou au moins très limitées, - connexions vers le réseau interne limité au strict nécessaire (par exemple: interdiction de se connecter aux autres postes de travail), - limitation du débit des connexions sortantes vers l'extérieur, - l'idéal serait d'avoir un IDS pour détecter les comportements atypiques (notamment dans les connexions sortantes).
-- Jérémy JUST
Le 11 Jan 2007 14:32:49 GMT,
Ces portables, sur demande des utilisateurs, tiennent absolument
a etre sur le meme LAN que les desktops.
Pourquoi demandent-ils ça? Pour moi, le fait d'être dans le même
sous-réseau/VLAN est un aspect technique qui ne les regarde pas. Tout
ce qu'ils ont à demander, c'est « je veux pouvoir me connecter à tel
serveur pour faire telle ou telle chose, je veux pouvoir partager des
fichiers avec untel... ».
Quelles solutions _techniques_ peut on apporter?
Il me semble impératif de distinguer ces machines mobiles des
machines fixes, en les mettant dans un VLAN distinct. Les règles de
filtrage que tu leur appliqueras seront plus strictes, par exemple:
- envoi direct de mails interdit (passage obligé par ton SMTP interne),
- connexions entrantes depuis l'extérieur vers ces machines interdites
si possible, ou au moins très limitées,
- connexions vers le réseau interne limité au strict nécessaire (par
exemple: interdiction de se connecter aux autres postes de travail),
- limitation du débit des connexions sortantes vers l'extérieur,
- l'idéal serait d'avoir un IDS pour détecter les comportements
atypiques (notamment dans les connexions sortantes).
Ces portables, sur demande des utilisateurs, tiennent absolument a etre sur le meme LAN que les desktops.
Pourquoi demandent-ils ça? Pour moi, le fait d'être dans le même sous-réseau/VLAN est un aspect technique qui ne les regarde pas. Tout ce qu'ils ont à demander, c'est « je veux pouvoir me connecter à tel serveur pour faire telle ou telle chose, je veux pouvoir partager des fichiers avec untel... ».
Quelles solutions _techniques_ peut on apporter?
Il me semble impératif de distinguer ces machines mobiles des machines fixes, en les mettant dans un VLAN distinct. Les règles de filtrage que tu leur appliqueras seront plus strictes, par exemple: - envoi direct de mails interdit (passage obligé par ton SMTP interne), - connexions entrantes depuis l'extérieur vers ces machines interdites si possible, ou au moins très limitées, - connexions vers le réseau interne limité au strict nécessaire (par exemple: interdiction de se connecter aux autres postes de travail), - limitation du débit des connexions sortantes vers l'extérieur, - l'idéal serait d'avoir un IDS pour détecter les comportements atypiques (notamment dans les connexions sortantes).
-- Jérémy JUST
Vincent Bernat
OoO En cette nuit nuageuse du samedi 13 janvier 2007, vers 01:11, Fabien LE LEZ disait:
En quelques minutes, ton IDS te dira si le portable est infecté ou non
Et si c'est une cochonnerie qui ne s'active que trois heures après le démarrage du système ?
Rien n'empêche de raffiner. Par exemple, coller le portable dans le VLAN de quarantaine quand il chatouille trop le firewall. -- printk("ufs_read_super: fucking Sun blows men"); 2.0.38 /usr/src/linux/fs/ufs/ufs_super.c
OoO En cette nuit nuageuse du samedi 13 janvier 2007, vers 01:11,
Fabien LE LEZ <gramster@gramster.com> disait:
En quelques minutes, ton
IDS te dira si le portable est infecté ou non
Et si c'est une cochonnerie qui ne s'active que trois heures après le
démarrage du système ?
Rien n'empêche de raffiner. Par exemple, coller le portable dans le
VLAN de quarantaine quand il chatouille trop le firewall.
--
printk("ufs_read_super: fucking Sun blows men");
2.0.38 /usr/src/linux/fs/ufs/ufs_super.c
OoO En cette nuit nuageuse du samedi 13 janvier 2007, vers 01:11, Fabien LE LEZ disait:
En quelques minutes, ton IDS te dira si le portable est infecté ou non
Et si c'est une cochonnerie qui ne s'active que trois heures après le démarrage du système ?
Rien n'empêche de raffiner. Par exemple, coller le portable dans le VLAN de quarantaine quand il chatouille trop le firewall. -- printk("ufs_read_super: fucking Sun blows men"); 2.0.38 /usr/src/linux/fs/ufs/ufs_super.c
Vincent Bernat
OoO En ce début d'après-midi nuageux du dimanche 14 janvier 2007, vers 14:57, (Xavier) disait:
Pourquoi demandent-ils ça? Pour moi, le fait d'être dans le même sous-réseau/VLAN est un aspect technique qui ne les regarde pas.
Oui, mais non. Ce qu'ils demandent, c'est "Je veux brancher le portable dans mon bureau".
Point.
Et là, sauf à faire du source-routing à partir de l'adresse MAC, je vois pas comment faire.
Imposer l'usage de 802.1x qui te permettra de les affecter dans un VLAN à l'issu de l'authentification ? -- I WILL NOT DRIVE THE PRINCIPAL'S CAR I WILL NOT DRIVE THE PRINCIPAL'S CAR I WILL NOT DRIVE THE PRINCIPAL'S CAR -+- Bart Simpson on chalkboard in episode 7F06
OoO En ce début d'après-midi nuageux du dimanche 14 janvier 2007, vers
14:57, xavier@groumpf.org (Xavier) disait:
Pourquoi demandent-ils ça? Pour moi, le fait d'être dans le même
sous-réseau/VLAN est un aspect technique qui ne les regarde pas.
Oui, mais non. Ce qu'ils demandent, c'est "Je veux brancher le portable
dans mon bureau".
Point.
Et là, sauf à faire du source-routing à partir de l'adresse MAC, je vois
pas comment faire.
Imposer l'usage de 802.1x qui te permettra de les affecter dans un
VLAN à l'issu de l'authentification ?
--
I WILL NOT DRIVE THE PRINCIPAL'S CAR
I WILL NOT DRIVE THE PRINCIPAL'S CAR
I WILL NOT DRIVE THE PRINCIPAL'S CAR
-+- Bart Simpson on chalkboard in episode 7F06
OoO En ce début d'après-midi nuageux du dimanche 14 janvier 2007, vers 14:57, (Xavier) disait:
Pourquoi demandent-ils ça? Pour moi, le fait d'être dans le même sous-réseau/VLAN est un aspect technique qui ne les regarde pas.
Oui, mais non. Ce qu'ils demandent, c'est "Je veux brancher le portable dans mon bureau".
Point.
Et là, sauf à faire du source-routing à partir de l'adresse MAC, je vois pas comment faire.
Imposer l'usage de 802.1x qui te permettra de les affecter dans un VLAN à l'issu de l'authentification ? -- I WILL NOT DRIVE THE PRINCIPAL'S CAR I WILL NOT DRIVE THE PRINCIPAL'S CAR I WILL NOT DRIVE THE PRINCIPAL'S CAR -+- Bart Simpson on chalkboard in episode 7F06
Fabien LE LEZ
On 14 Jan 2007 13:57:50 GMT, (Xavier):
Oui, mais non. Ce qu'ils demandent, c'est "Je veux brancher le portable dans mon bureau".
Ils veulent brancher le portable sur une prise RJ45 ? Si c'est bien ça, s'agit-il des mêmes prises utilisées pour les PC fixes ?
Si non, il suffit d'avoir deux réseaux physiquement séparés : des prises "PC fixes" et des prises "portables", et une passerelle qui s'occupera du filtrage. Note que s'il n'y a pas assez de prises, ça peut se faire par wifi : tous les portables se connectent uniquement en wifi, et le "réseau wifi" est considéré comme "potentiellement dangereux".
Si oui, c'est plus compliqué. Il faut que le switch soit capable d'interdire le trafic entre deux stations de travail. Ainsi, tout le trafic passe par la passerelle, qui se charge de repérer les machines de confiance, et d'autoriser tel ou tel trafic de telle ou telle machine vers telle ou telle autre.
Mais de toutes façons, tu dois commencer par définir quel type de trafic tu dois autoriser. Par exemple, d'une manière générale, il y a peu d'avantages et beaucoup d'inconvénients à autoriser le trafic entre deux stations de travail.
Point.
Note que s'il ne s'agit que de brancher le portable sur la prise, et rien d'autre (en particulier, aucun passage de paquets Ethernet), il y a une solution fort simple : éteindre le switch.
On 14 Jan 2007 13:57:50 GMT, xavier@groumpf.org (Xavier):
Oui, mais non. Ce qu'ils demandent, c'est "Je veux brancher le portable
dans mon bureau".
Ils veulent brancher le portable sur une prise RJ45 ?
Si c'est bien ça, s'agit-il des mêmes prises utilisées pour les PC
fixes ?
Si non, il suffit d'avoir deux réseaux physiquement séparés : des
prises "PC fixes" et des prises "portables", et une passerelle qui
s'occupera du filtrage. Note que s'il n'y a pas assez de prises, ça
peut se faire par wifi : tous les portables se connectent uniquement
en wifi, et le "réseau wifi" est considéré comme "potentiellement
dangereux".
Si oui, c'est plus compliqué. Il faut que le switch soit capable
d'interdire le trafic entre deux stations de travail. Ainsi, tout le
trafic passe par la passerelle, qui se charge de repérer les machines
de confiance, et d'autoriser tel ou tel trafic de telle ou telle
machine vers telle ou telle autre.
Mais de toutes façons, tu dois commencer par définir quel type de
trafic tu dois autoriser. Par exemple, d'une manière générale, il y a
peu d'avantages et beaucoup d'inconvénients à autoriser le trafic
entre deux stations de travail.
Point.
Note que s'il ne s'agit que de brancher le portable sur la prise, et
rien d'autre (en particulier, aucun passage de paquets Ethernet), il y
a une solution fort simple : éteindre le switch.
Oui, mais non. Ce qu'ils demandent, c'est "Je veux brancher le portable dans mon bureau".
Ils veulent brancher le portable sur une prise RJ45 ? Si c'est bien ça, s'agit-il des mêmes prises utilisées pour les PC fixes ?
Si non, il suffit d'avoir deux réseaux physiquement séparés : des prises "PC fixes" et des prises "portables", et une passerelle qui s'occupera du filtrage. Note que s'il n'y a pas assez de prises, ça peut se faire par wifi : tous les portables se connectent uniquement en wifi, et le "réseau wifi" est considéré comme "potentiellement dangereux".
Si oui, c'est plus compliqué. Il faut que le switch soit capable d'interdire le trafic entre deux stations de travail. Ainsi, tout le trafic passe par la passerelle, qui se charge de repérer les machines de confiance, et d'autoriser tel ou tel trafic de telle ou telle machine vers telle ou telle autre.
Mais de toutes façons, tu dois commencer par définir quel type de trafic tu dois autoriser. Par exemple, d'une manière générale, il y a peu d'avantages et beaucoup d'inconvénients à autoriser le trafic entre deux stations de travail.
Point.
Note que s'il ne s'agit que de brancher le portable sur la prise, et rien d'autre (en particulier, aucun passage de paquets Ethernet), il y a une solution fort simple : éteindre le switch.
