Sur un reseau d'entreprise disons de 200 machines, proteger par un firewall,
et tous les postes clients sont equipes d'un antivirus.
Imaginons : Un weekend, un commercial, emmene son ordinateur portable à la
maison, et se connecte à Internet [Pratique non autorise par la societe].
Le lundi matin, il arrive au boulot, et bien gentiellment connecte son
portable sur le reseau de l"entreprise. Et là, il diffuse largement à tout
le reseau le dernier vers à la mode.
[On a pas eu le temps de patcher les 200 machines].
Imaginons : Un weekend, un commercial, emmene son ordinateur portable à la maison, et se connecte à Internet [Pratique non autorise par la societe].
Si cette pratique n'est pas autorisée, elle ne doit pas être possible techniquement : l'utilisateur n'a pas d'accès administrateur à la machine, ne peut pas installer un modem, ni se connecter à un réseau autre que le LAN de l'entreprise. Eventuellement, installer Kerio 2.1.5 sur chaque machine (avec une configuration draconienne et non modifiable par l'utilisateur), si du moins on peut toujours l'acheter.
-- ;-) FLL, Epagneul Breton
On 03 Jun 2004 19:51:51 GMT, martin <martin@noreply.fr> wrote:
Imaginons : Un weekend, un commercial, emmene son ordinateur portable à la
maison, et se connecte à Internet [Pratique non autorise par la societe].
Si cette pratique n'est pas autorisée, elle ne doit pas être possible
techniquement : l'utilisateur n'a pas d'accès administrateur à la
machine, ne peut pas installer un modem, ni se connecter à un réseau
autre que le LAN de l'entreprise.
Eventuellement, installer Kerio 2.1.5 sur chaque machine (avec une
configuration draconienne et non modifiable par l'utilisateur), si du
moins on peut toujours l'acheter.
Imaginons : Un weekend, un commercial, emmene son ordinateur portable à la maison, et se connecte à Internet [Pratique non autorise par la societe].
Si cette pratique n'est pas autorisée, elle ne doit pas être possible techniquement : l'utilisateur n'a pas d'accès administrateur à la machine, ne peut pas installer un modem, ni se connecter à un réseau autre que le LAN de l'entreprise. Eventuellement, installer Kerio 2.1.5 sur chaque machine (avec une configuration draconienne et non modifiable par l'utilisateur), si du moins on peut toujours l'acheter.
-- ;-) FLL, Epagneul Breton
Michel Arboi
On Thu Jun 03 2004 at 22:53, Fabien LE LEZ wrote:
Si cette pratique n'est pas autorisée, elle ne doit pas être possible techniquement : l'utilisateur n'a pas d'accès administrateur à la machine, ne peut pas installer un modem
Il se passe quoi sous Ouinouin quand on connecte un bidule kivabien sur l'USB ou sur le port PCMCIA ? (je n'ai pas essayé)
ni se connecter à un réseau autre que le LAN de l'entreprise.
Et si le vil commercial a un routeur ADSL chez lui et la même plage d'adresse que le LAN de la boite ? Ça complique le blindage du portable...
Eventuellement, installer Kerio 2.1.5 sur chaque machine (avec une configuration draconienne et non modifiable par l'utilisateur), si du moins on peut toujours l'acheter.
La solution technique la plus simple me semble de coller Linux ou BSD sur le portable. Ça agacera prodigieusement le commercial qui ne saura pas y installer de jeux et ne le ramènera pas chez lui le week-end, et ça limitera sérieusement le risque de se prendre un badware s'il le fait quand même une fois qu'il aura découvert xbill. Reste à voir si c'est faisable dans l'environnement considéré, ce dont je doute, malheureusement.
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
On Thu Jun 03 2004 at 22:53, Fabien LE LEZ wrote:
Si cette pratique n'est pas autorisée, elle ne doit pas être possible
techniquement : l'utilisateur n'a pas d'accès administrateur à la
machine, ne peut pas installer un modem
Il se passe quoi sous Ouinouin quand on connecte un bidule kivabien
sur l'USB ou sur le port PCMCIA ? (je n'ai pas essayé)
ni se connecter à un réseau autre que le LAN de l'entreprise.
Et si le vil commercial a un routeur ADSL chez lui et la même plage
d'adresse que le LAN de la boite ? Ça complique le blindage du
portable...
Eventuellement, installer Kerio 2.1.5 sur chaque machine (avec une
configuration draconienne et non modifiable par l'utilisateur), si du
moins on peut toujours l'acheter.
La solution technique la plus simple me semble de coller Linux ou BSD
sur le portable. Ça agacera prodigieusement le commercial qui ne saura
pas y installer de jeux et ne le ramènera pas chez lui le week-end, et
ça limitera sérieusement le risque de se prendre un badware s'il le
fait quand même une fois qu'il aura découvert xbill.
Reste à voir si c'est faisable dans l'environnement considéré, ce dont
je doute, malheureusement.
--
arboi@alussinan.org http://arboi.da.ru
FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
Si cette pratique n'est pas autorisée, elle ne doit pas être possible techniquement : l'utilisateur n'a pas d'accès administrateur à la machine, ne peut pas installer un modem
Il se passe quoi sous Ouinouin quand on connecte un bidule kivabien sur l'USB ou sur le port PCMCIA ? (je n'ai pas essayé)
ni se connecter à un réseau autre que le LAN de l'entreprise.
Et si le vil commercial a un routeur ADSL chez lui et la même plage d'adresse que le LAN de la boite ? Ça complique le blindage du portable...
Eventuellement, installer Kerio 2.1.5 sur chaque machine (avec une configuration draconienne et non modifiable par l'utilisateur), si du moins on peut toujours l'acheter.
La solution technique la plus simple me semble de coller Linux ou BSD sur le portable. Ça agacera prodigieusement le commercial qui ne saura pas y installer de jeux et ne le ramènera pas chez lui le week-end, et ça limitera sérieusement le risque de se prendre un badware s'il le fait quand même une fois qu'il aura découvert xbill. Reste à voir si c'est faisable dans l'environnement considéré, ce dont je doute, malheureusement.
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
RV Lardin
Le lundi matin, il arrive au boulot, et bien gentiellment connecte son portable sur le reseau de l"entreprise. Et là, il diffuse largement à tout le reseau le dernier vers à la mode.
Solution bête et simple :
dans ton LAN, tu dédies un poste avec un modem RTC et une ligne aux connexions venant de l'extérieur.
Ainsi, tu joues le rôle de ton propre fournisseur d'accès. Ton commercial se connecte à Internet depuis ton LAN interne (comme d'hab), et en prime il se retrouve sur le LAN interne mieux qu'en VPN.
T'achètes ? ;-)
A+, RV. ---- "Ceux qui abandonnent un peu de leurs libertés essentielles en échange d'un peu plus de sécurité ne méritent ni la liberté, ni la sécurité, et vont perdre les deux."- Thomas Jefferson . "Those who are willing to lose some of their essential liberties in favour of security deserve neither and will lose both."
Le lundi matin, il arrive au boulot, et bien gentiellment connecte son
portable sur le reseau de l"entreprise. Et là, il diffuse largement à tout
le reseau le dernier vers à la mode.
Solution bête et simple :
dans ton LAN, tu dédies un poste avec un modem
RTC et une ligne aux connexions venant de l'extérieur.
Ainsi, tu joues le rôle de ton propre fournisseur d'accès.
Ton commercial se connecte à Internet depuis ton LAN
interne (comme d'hab), et en prime il se retrouve sur le
LAN interne mieux qu'en VPN.
T'achètes ?
;-)
A+,
RV.
----
"Ceux qui abandonnent un peu de leurs libertés essentielles
en échange d'un peu plus de sécurité ne méritent ni la liberté,
ni la sécurité, et vont perdre les deux."- Thomas Jefferson .
"Those who are willing to lose some of their essential liberties
in favour of security deserve neither and will lose both."
Le lundi matin, il arrive au boulot, et bien gentiellment connecte son portable sur le reseau de l"entreprise. Et là, il diffuse largement à tout le reseau le dernier vers à la mode.
Solution bête et simple :
dans ton LAN, tu dédies un poste avec un modem RTC et une ligne aux connexions venant de l'extérieur.
Ainsi, tu joues le rôle de ton propre fournisseur d'accès. Ton commercial se connecte à Internet depuis ton LAN interne (comme d'hab), et en prime il se retrouve sur le LAN interne mieux qu'en VPN.
T'achètes ? ;-)
A+, RV. ---- "Ceux qui abandonnent un peu de leurs libertés essentielles en échange d'un peu plus de sécurité ne méritent ni la liberté, ni la sécurité, et vont perdre les deux."- Thomas Jefferson . "Those who are willing to lose some of their essential liberties in favour of security deserve neither and will lose both."
Come BERBAIN
On 03 Jun 2004 19:51:51 GMT, martin wrote:
Si cette pratique n'est pas autorisée, elle ne doit pas être possible techniquement
une idee comme ca : si le portable lors de sa connexion au reseau de l'entreprise se voit attribuer une adresse ip par serveur dhcp, qui le place dans un sous reseau special portable avec firewall entre ce sous reseau et le reste, ca peut marcher? ca exige de relever les adresses mac de tous les portables et de mettre en place un vlan.
On 03 Jun 2004 19:51:51 GMT, martin <martin@noreply.fr> wrote:
Si cette pratique n'est pas autorisée, elle ne doit pas être possible
techniquement
une idee comme ca : si le portable lors de sa connexion au reseau de
l'entreprise se voit attribuer une adresse ip par serveur dhcp, qui le place
dans un sous reseau special portable avec firewall entre ce sous reseau et
le reste, ca peut marcher?
ca exige de relever les adresses mac de tous les portables et de mettre en
place un vlan.
Si cette pratique n'est pas autorisée, elle ne doit pas être possible techniquement
une idee comme ca : si le portable lors de sa connexion au reseau de l'entreprise se voit attribuer une adresse ip par serveur dhcp, qui le place dans un sous reseau special portable avec firewall entre ce sous reseau et le reste, ca peut marcher? ca exige de relever les adresses mac de tous les portables et de mettre en place un vlan.
Cedric Blancher
Le Thu, 03 Jun 2004 19:51:51 +0000, martin a écrit :
Le lundi matin, il arrive au boulot, et bien gentiellment connecte son portable sur le reseau de l"entreprise. Et là, il diffuse largement à tout le reseau le dernier vers à la mode.
[On a pas eu le temps de patcher les 200 machines]
Envisager des solutions de patch management type scripts d'admins ou produits commerciaux genre SUS de MS.
Quelle solutions preconisez vous ? Merci
Interdire l'accès au réseau aux postes non corporate. Une bonne solution est une authentification 802.1x basée sur les identifiants de la _machine_ au domaine, à savoir ceux qui lui sont attribués via le PDC par l'administrateur du domaine lors de son entrée, soit des certificats machines.
L'utilisateur n'ayant pas (normallement) le mot de passe du domaine, il ne peut y identifier son poste, et donc pas de 802.1x, et donc pas de réseau, ou n'a pas les droits de générer le certificat qui va bien, donc même sanction.
L'introduction de postes non contrôlés dans le SI, que ce soit physiquement ou via des liens IP type VPN est un (sinon le) des vecteurs majeurs d'infection virale aujourd'hui.
-- Je suis d'accord. C'est tout. Laconique (ta mère), hein ? -+- WWD in: Guide du Cabaliste Usenet - Pensées Profondes -+-
Le Thu, 03 Jun 2004 19:51:51 +0000, martin a écrit :
Le lundi matin, il arrive au boulot, et bien gentiellment connecte son
portable sur le reseau de l"entreprise. Et là, il diffuse largement à tout
le reseau le dernier vers à la mode.
[On a pas eu le temps de patcher les 200 machines]
Envisager des solutions de patch management type scripts d'admins ou
produits commerciaux genre SUS de MS.
Quelle solutions preconisez vous ? Merci
Interdire l'accès au réseau aux postes non corporate.
Une bonne solution est une authentification 802.1x basée sur les
identifiants de la _machine_ au domaine, à savoir ceux qui lui sont
attribués via le PDC par l'administrateur du domaine lors de son entrée,
soit des certificats machines.
L'utilisateur n'ayant pas (normallement) le mot de passe du domaine, il ne
peut y identifier son poste, et donc pas de 802.1x, et donc pas de
réseau, ou n'a pas les droits de générer le certificat qui va bien,
donc même sanction.
L'introduction de postes non contrôlés dans le SI, que ce soit
physiquement ou via des liens IP type VPN est un (sinon le) des vecteurs
majeurs d'infection virale aujourd'hui.
--
Je suis d'accord. C'est tout.
Laconique (ta mère), hein ?
-+- WWD in: Guide du Cabaliste Usenet - Pensées Profondes -+-
Le Thu, 03 Jun 2004 19:51:51 +0000, martin a écrit :
Le lundi matin, il arrive au boulot, et bien gentiellment connecte son portable sur le reseau de l"entreprise. Et là, il diffuse largement à tout le reseau le dernier vers à la mode.
[On a pas eu le temps de patcher les 200 machines]
Envisager des solutions de patch management type scripts d'admins ou produits commerciaux genre SUS de MS.
Quelle solutions preconisez vous ? Merci
Interdire l'accès au réseau aux postes non corporate. Une bonne solution est une authentification 802.1x basée sur les identifiants de la _machine_ au domaine, à savoir ceux qui lui sont attribués via le PDC par l'administrateur du domaine lors de son entrée, soit des certificats machines.
L'utilisateur n'ayant pas (normallement) le mot de passe du domaine, il ne peut y identifier son poste, et donc pas de 802.1x, et donc pas de réseau, ou n'a pas les droits de générer le certificat qui va bien, donc même sanction.
L'introduction de postes non contrôlés dans le SI, que ce soit physiquement ou via des liens IP type VPN est un (sinon le) des vecteurs majeurs d'infection virale aujourd'hui.
-- Je suis d'accord. C'est tout. Laconique (ta mère), hein ? -+- WWD in: Guide du Cabaliste Usenet - Pensées Profondes -+-
Frederic Gedin
RV Lardin wrote:
Le lundi matin, il arrive au boulot, et bien gentiellment connecte son portable sur le reseau de l"entreprise. Et là, il diffuse largement à tout le reseau le dernier vers à la mode.
Solution bête et simple :
dans ton LAN, tu dédies un poste avec un modem RTC et une ligne aux connexions venant de l'extérieur.
Ainsi, tu joues le rôle de ton propre fournisseur d'accès. Ton commercial se connecte à Internet depuis ton LAN interne (comme d'hab), et en prime il se retrouve sur le LAN interne mieux qu'en VPN.
T'achètes ? ;-)
Tiens on dirait une réponse venant d'un fournisseur de service téléphonique:-)
Pour l'avoir expérimentée, une telle solution n'est pas pratique et vraiment coûteuse car chaque personne se connectant va payer une facture telephonique proportionnelle au temps de connexion. C'est particulièrement lourd si le commercial, comme c'est son rôle, s'éloigne fortement de l'entreprise voire va à l'étranger. De plus, il faudra non pas un modem mais un pool de modems suffisamment dimensionné pour qu'il n'y ait pas de files d'attentes.
De plus cela ne t'empêche pas de devoir bien configurer l'identification à l'entrée du modem car si quelqu'un arrive à l'outrepasser, il aura l'occasion de se rire de ton firewall et de ton antivirus placés sur la passerelle vers Internet.
Pour la petite histoire, mon ancienne entreprise a viré son modem pool et l'a remplacé par un VPN.
Moi je n'achète pas :-)
Frédéric
RV Lardin wrote:
Le lundi matin, il arrive au boulot, et bien gentiellment connecte son
portable sur le reseau de l"entreprise. Et là, il diffuse largement à
tout le reseau le dernier vers à la mode.
Solution bête et simple :
dans ton LAN, tu dédies un poste avec un modem
RTC et une ligne aux connexions venant de l'extérieur.
Ainsi, tu joues le rôle de ton propre fournisseur d'accès.
Ton commercial se connecte à Internet depuis ton LAN
interne (comme d'hab), et en prime il se retrouve sur le
LAN interne mieux qu'en VPN.
T'achètes ?
;-)
Tiens on dirait une réponse venant d'un fournisseur de service
téléphonique:-)
Pour l'avoir expérimentée, une telle solution n'est pas pratique et vraiment
coûteuse car chaque personne se connectant va payer une facture
telephonique proportionnelle au temps de connexion. C'est particulièrement
lourd si le commercial, comme c'est son rôle, s'éloigne fortement de
l'entreprise voire va à l'étranger. De plus, il faudra non pas un modem
mais un pool de modems suffisamment dimensionné pour qu'il n'y ait pas de
files d'attentes.
De plus cela ne t'empêche pas de devoir bien configurer l'identification à
l'entrée du modem car si quelqu'un arrive à l'outrepasser, il aura
l'occasion de se rire de ton firewall et de ton antivirus placés sur la
passerelle vers Internet.
Pour la petite histoire, mon ancienne entreprise a viré son modem pool et
l'a remplacé par un VPN.
Le lundi matin, il arrive au boulot, et bien gentiellment connecte son portable sur le reseau de l"entreprise. Et là, il diffuse largement à tout le reseau le dernier vers à la mode.
Solution bête et simple :
dans ton LAN, tu dédies un poste avec un modem RTC et une ligne aux connexions venant de l'extérieur.
Ainsi, tu joues le rôle de ton propre fournisseur d'accès. Ton commercial se connecte à Internet depuis ton LAN interne (comme d'hab), et en prime il se retrouve sur le LAN interne mieux qu'en VPN.
T'achètes ? ;-)
Tiens on dirait une réponse venant d'un fournisseur de service téléphonique:-)
Pour l'avoir expérimentée, une telle solution n'est pas pratique et vraiment coûteuse car chaque personne se connectant va payer une facture telephonique proportionnelle au temps de connexion. C'est particulièrement lourd si le commercial, comme c'est son rôle, s'éloigne fortement de l'entreprise voire va à l'étranger. De plus, il faudra non pas un modem mais un pool de modems suffisamment dimensionné pour qu'il n'y ait pas de files d'attentes.
De plus cela ne t'empêche pas de devoir bien configurer l'identification à l'entrée du modem car si quelqu'un arrive à l'outrepasser, il aura l'occasion de se rire de ton firewall et de ton antivirus placés sur la passerelle vers Internet.
Pour la petite histoire, mon ancienne entreprise a viré son modem pool et l'a remplacé par un VPN.
Moi je n'achète pas :-)
Frédéric
Fabien LE LEZ
On 04 Jun 2004 02:04:28 GMT, Michel Arboi wrote:
Il se passe quoi sous Ouinouin quand on connecte un bidule kivabien sur l'USB ou sur le port PCMCIA ? (je n'ai pas essayé)
Rien, si le portable est bien configuré -- et que l'utilisateur a un compte style "utilisateur restreint", i.e. il ne peut rien faire d'autre que lancer les applications prévues, et surtout pas installer des périphériques. Un port USB ou PCMCIA, ça se désactive.
-- ;-) FLL, Epagneul Breton
On 04 Jun 2004 02:04:28 GMT, Michel Arboi <arboi@alussinan.org> wrote:
Il se passe quoi sous Ouinouin quand on connecte un bidule kivabien
sur l'USB ou sur le port PCMCIA ? (je n'ai pas essayé)
Rien, si le portable est bien configuré -- et que l'utilisateur a un
compte style "utilisateur restreint", i.e. il ne peut rien faire
d'autre que lancer les applications prévues, et surtout pas installer
des périphériques.
Un port USB ou PCMCIA, ça se désactive.
Il se passe quoi sous Ouinouin quand on connecte un bidule kivabien sur l'USB ou sur le port PCMCIA ? (je n'ai pas essayé)
Rien, si le portable est bien configuré -- et que l'utilisateur a un compte style "utilisateur restreint", i.e. il ne peut rien faire d'autre que lancer les applications prévues, et surtout pas installer des périphériques. Un port USB ou PCMCIA, ça se désactive.
-- ;-) FLL, Epagneul Breton
Fabien LE LEZ
On 04 Jun 2004 08:35:36 GMT, RV Lardin wrote:
Ainsi, tu joues le rôle de ton propre fournisseur d'accès.
Le principe, c'est que le portable ne puisse _pas_ se connecter à Internet. Donc, non, je n'achète pas.
-- ;-) FLL, Epagneul Breton
On 04 Jun 2004 08:35:36 GMT, RV Lardin <RvLardin_NOSPAM@wanadoo.fr>
wrote:
Ainsi, tu joues le rôle de ton propre fournisseur d'accès.
Le principe, c'est que le portable ne puisse _pas_ se connecter à
Internet. Donc, non, je n'achète pas.
Ainsi, tu joues le rôle de ton propre fournisseur d'accès.
Le principe, c'est que le portable ne puisse _pas_ se connecter à Internet. Donc, non, je n'achète pas.
-- ;-) FLL, Epagneul Breton
Michel Arboi
On Fri Jun 04 2004 at 22:28, Fabien LE LEZ wrote:
Un port USB ou PCMCIA, ça se désactive.
Posons la question autrement : est-ce envisageable dans la vraie vie ? Est-ce que ça vaut encore le coup de donner un portable à l'utilisateur, dans ce cas ?
On Fri Jun 04 2004 at 22:28, Fabien LE LEZ wrote:
Un port USB ou PCMCIA, ça se désactive.
Posons la question autrement : est-ce envisageable dans la vraie vie ?
Est-ce que ça vaut encore le coup de donner un portable à
l'utilisateur, dans ce cas ?
Posons la question autrement : est-ce envisageable dans la vraie vie ? Est-ce que ça vaut encore le coup de donner un portable à l'utilisateur, dans ce cas ?
Michel Arboi
On Fri Jun 04 2004 at 11:10, Cedric Blancher wrote:
Interdire l'accès au réseau aux postes non corporate. Une bonne solution est une authentification 802.1x basée sur les identifiants de la _machine_ au domaine, à savoir ceux qui lui sont attribués via le PDC par l'administrateur du domaine lors de son entrée, soit des certificats machines.
Je n'ai pas l'impression que ça réponde à la question initiale... Il veut empêcher les portables corporate de se connecter ailleurs, pas l'inverse.
On Fri Jun 04 2004 at 11:10, Cedric Blancher wrote:
Interdire l'accès au réseau aux postes non corporate.
Une bonne solution est une authentification 802.1x basée sur les
identifiants de la _machine_ au domaine, à savoir ceux qui lui sont
attribués via le PDC par l'administrateur du domaine lors de son entrée,
soit des certificats machines.
Je n'ai pas l'impression que ça réponde à la question initiale...
Il veut empêcher les portables corporate de se connecter ailleurs, pas
l'inverse.
On Fri Jun 04 2004 at 11:10, Cedric Blancher wrote:
Interdire l'accès au réseau aux postes non corporate. Une bonne solution est une authentification 802.1x basée sur les identifiants de la _machine_ au domaine, à savoir ceux qui lui sont attribués via le PDC par l'administrateur du domaine lors de son entrée, soit des certificats machines.
Je n'ai pas l'impression que ça réponde à la question initiale... Il veut empêcher les portables corporate de se connecter ailleurs, pas l'inverse.
