Protéger en profondeur la pile TCP/IP de windows ?
4 réponses
bigstyle
Bonjour,
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-).
Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de
mes postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft
http://support.microsoft.com/kb/315669/fr qui traite de la façon de
durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le
contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce
genre de changements.
L'article ne traite pas des conséquences de telles modifications (en
terme de charge réseau supplémentaire), et je ne suis pas persuadé
qu'en suivant ces règles les postes seront à l'abri de déni de service.
Selon vous, ce genre de modifications sont utiles ?
Les avez-vous déjà mise en production et avez-vous des retours
d'experience à ce sujet ?
Avez-vous d'autres conseils ? :)
Merci
--
bigstyle
MVP Windows Server - Directory Services
MCSE 2000/2003 Security
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Barathon [MS]
"bigstyle" wrote in message news:
Bonjour,
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-). Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr qui traite de la façon de durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de changements. L'article ne traite pas des conséquences de telles modifications (en terme de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant ces règles les postes seront à l'abri de déni de service.
Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas franchement besoin de les protéger contre un risque de déni de service.
Si tu crains une attaque sur ton réseau interne, regarde éventuellement du côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il existe de nombreuses docs en ligne sur le sujet, notamment le whitepaper de l'informatique interne de Microsoft sur notre propre implémentation d'IPsec (en anglais): http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx
Jacques
"bigstyle" <bigstyle75@free.fr> wrote in message
news:mn.1a757d745bec63da.70874@free.fr...
Bonjour,
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-).
Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes
postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr
qui traite de la façon de durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu
ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de
changements.
L'article ne traite pas des conséquences de telles modifications (en terme
de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant
ces règles les postes seront à l'abri de déni de service.
Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un
réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas
franchement besoin de les protéger contre un risque de déni de service.
Si tu crains une attaque sur ton réseau interne, regarde éventuellement du
côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il
existe de nombreuses docs en ligne sur le sujet, notamment le whitepaper de
l'informatique interne de Microsoft sur notre propre implémentation d'IPsec
(en anglais):
http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-). Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr qui traite de la façon de durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de changements. L'article ne traite pas des conséquences de telles modifications (en terme de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant ces règles les postes seront à l'abri de déni de service.
Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas franchement besoin de les protéger contre un risque de déni de service.
Si tu crains une attaque sur ton réseau interne, regarde éventuellement du côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il existe de nombreuses docs en ligne sur le sujet, notamment le whitepaper de l'informatique interne de Microsoft sur notre propre implémentation d'IPsec (en anglais): http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx
Jacques
bigstyle [MVP]
"bigstyle" wrote in message news:
Bonjour,
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-). Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr qui traite de la façon de durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de changements. L'article ne traite pas des conséquences de telles modifications (en terme de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant ces règles les postes seront à l'abri de déni de service.
Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas franchement besoin de les protéger contre un risque de déni de service.
Si tu crains une attaque sur ton réseau interne, regarde éventuellement du côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il existe de nombreuses docs en ligne sur le sujet, notamment le whitepaper de l'informatique interne de Microsoft sur notre propre implémentation d'IPsec (en anglais): http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx
Jacques
Bonsoir Jacques,
merci de m'avoir répondu. Certains serveurs sont directement exposés à Internet et d'autres sont uniquement sur le LAN.
Pour IPsec, je suis tout à fait d'accord mais les mentalités actuelles de la société où je me trouve actuellement ne vont pas me permettre de mettre en place ce genre de protocole, aussi utile soit-il.
Quels inconvénients vois-tu à utiliser de l'IPSec sur l'ensemble du réseau ? (charge processeur si ESP mais encore ? :D)
Est-ce que je dois comprendre par rapport à ta réponse que les modifications indiquées dans la KB 315669 ne sont pas suffisantes ?
Merci Jacques
P.S: Je pars du principe que des attaques peuvent se produire en interne ;-)
--
bigstyle MVP Windows Server - Directory Services MCSE 2000/2003 Security
"bigstyle" <bigstyle75@free.fr> wrote in message
news:mn.1a757d745bec63da.70874@free.fr...
Bonjour,
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-).
Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes
postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr
qui traite de la façon de durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu
ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de
changements.
L'article ne traite pas des conséquences de telles modifications (en terme
de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant
ces règles les postes seront à l'abri de déni de service.
Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un
réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas
franchement besoin de les protéger contre un risque de déni de service.
Si tu crains une attaque sur ton réseau interne, regarde éventuellement du
côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il existe
de nombreuses docs en ligne sur le sujet, notamment le whitepaper de
l'informatique interne de Microsoft sur notre propre implémentation d'IPsec
(en anglais):
http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx
Jacques
Bonsoir Jacques,
merci de m'avoir répondu.
Certains serveurs sont directement exposés à Internet et d'autres sont
uniquement sur le LAN.
Pour IPsec, je suis tout à fait d'accord mais les mentalités actuelles
de la société où je me trouve actuellement ne vont pas me permettre de
mettre en place ce genre de protocole, aussi utile soit-il.
Quels inconvénients vois-tu à utiliser de l'IPSec sur l'ensemble du
réseau ? (charge processeur si ESP mais encore ? :D)
Est-ce que je dois comprendre par rapport à ta réponse que les
modifications indiquées dans la KB 315669 ne sont pas suffisantes ?
Merci Jacques
P.S: Je pars du principe que des attaques peuvent se produire en
interne ;-)
--
bigstyle
MVP Windows Server - Directory Services
MCSE 2000/2003 Security
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-). Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr qui traite de la façon de durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de changements. L'article ne traite pas des conséquences de telles modifications (en terme de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant ces règles les postes seront à l'abri de déni de service.
Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas franchement besoin de les protéger contre un risque de déni de service.
Si tu crains une attaque sur ton réseau interne, regarde éventuellement du côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il existe de nombreuses docs en ligne sur le sujet, notamment le whitepaper de l'informatique interne de Microsoft sur notre propre implémentation d'IPsec (en anglais): http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx
Jacques
Bonsoir Jacques,
merci de m'avoir répondu. Certains serveurs sont directement exposés à Internet et d'autres sont uniquement sur le LAN.
Pour IPsec, je suis tout à fait d'accord mais les mentalités actuelles de la société où je me trouve actuellement ne vont pas me permettre de mettre en place ce genre de protocole, aussi utile soit-il.
Quels inconvénients vois-tu à utiliser de l'IPSec sur l'ensemble du réseau ? (charge processeur si ESP mais encore ? :D)
Est-ce que je dois comprendre par rapport à ta réponse que les modifications indiquées dans la KB 315669 ne sont pas suffisantes ?
Merci Jacques
P.S: Je pars du principe que des attaques peuvent se produire en interne ;-)
--
bigstyle MVP Windows Server - Directory Services MCSE 2000/2003 Security
Mathieu CHATEAU
Bonjour,
l'activation de ces paramètres n'aura pas de grande conséquence sur votre réseau. Le seul paramètre qui pourrait vous gêner est le "EnableDeadGWDetect" si vous utilisez plusieurs passerelle par défaut (cas assez rare).
La vrai chose à faire, c'est estimer le risque d'une attaque de type dos sur votre parc informatique. A mon avis, 99,99% de chance que ca n'arrive pas. Par contre des virus ou vers, ca oui...
-- Cordialement, Mathieu CHATEAU http://lordoftheping.blogspot.com "bigstyle" wrote in message news:
Bonjour,
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-). Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr qui traite de la façon de durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de changements. L'article ne traite pas des conséquences de telles modifications (en terme de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant ces règles les postes seront à l'abri de déni de service.
Selon vous, ce genre de modifications sont utiles ? Les avez-vous déjà mise en production et avez-vous des retours d'experience à ce sujet ?
Avez-vous d'autres conseils ? :)
Merci
--
bigstyle MVP Windows Server - Directory Services MCSE 2000/2003 Security
Bonjour,
l'activation de ces paramètres n'aura pas de grande conséquence sur votre
réseau.
Le seul paramètre qui pourrait vous gêner est le "EnableDeadGWDetect" si
vous utilisez plusieurs passerelle par défaut (cas assez rare).
La vrai chose à faire, c'est estimer le risque d'une attaque de type dos sur
votre parc informatique. A mon avis, 99,99% de chance que ca n'arrive pas.
Par contre des virus ou vers, ca oui...
--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com
"bigstyle" <bigstyle75@free.fr> wrote in message
news:mn.1a757d745bec63da.70874@free.fr...
Bonjour,
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-).
Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes
postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr
qui traite de la façon de durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu
ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de
changements.
L'article ne traite pas des conséquences de telles modifications (en terme
de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant
ces règles les postes seront à l'abri de déni de service.
Selon vous, ce genre de modifications sont utiles ?
Les avez-vous déjà mise en production et avez-vous des retours
d'experience à ce sujet ?
Avez-vous d'autres conseils ? :)
Merci
--
bigstyle
MVP Windows Server - Directory Services
MCSE 2000/2003 Security
l'activation de ces paramètres n'aura pas de grande conséquence sur votre réseau. Le seul paramètre qui pourrait vous gêner est le "EnableDeadGWDetect" si vous utilisez plusieurs passerelle par défaut (cas assez rare).
La vrai chose à faire, c'est estimer le risque d'une attaque de type dos sur votre parc informatique. A mon avis, 99,99% de chance que ca n'arrive pas. Par contre des virus ou vers, ca oui...
-- Cordialement, Mathieu CHATEAU http://lordoftheping.blogspot.com "bigstyle" wrote in message news:
Bonjour,
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-). Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr qui traite de la façon de durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de changements. L'article ne traite pas des conséquences de telles modifications (en terme de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant ces règles les postes seront à l'abri de déni de service.
Selon vous, ce genre de modifications sont utiles ? Les avez-vous déjà mise en production et avez-vous des retours d'experience à ce sujet ?
Avez-vous d'autres conseils ? :)
Merci
--
bigstyle MVP Windows Server - Directory Services MCSE 2000/2003 Security
Mathieu CHATEAU
tout à fait d'accord, en revanche ipsec consomme des ressources, surtout lorsque l'encryption des données est activé.
Je l'utilise surtout pour empêcher des machines hors domaine d'accéder à des ressources du domaine (isolation).
Environ 5% de cpu sur des processeurs récents
-- Cordialement, Mathieu CHATEAU http://lordoftheping.blogspot.com "Jacques Barathon [MS]" wrote in message news:%233c%
"bigstyle" wrote in message news:
Bonjour,
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-). Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr qui traite de la façon de durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de changements. L'article ne traite pas des conséquences de telles modifications (en terme de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant ces règles les postes seront à l'abri de déni de service.
Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas franchement besoin de les protéger contre un risque de déni de service.
Si tu crains une attaque sur ton réseau interne, regarde éventuellement du côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il existe de nombreuses docs en ligne sur le sujet, notamment le whitepaper de l'informatique interne de Microsoft sur notre propre implémentation d'IPsec (en anglais): http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx
Jacques
tout à fait d'accord, en revanche ipsec consomme des ressources, surtout
lorsque l'encryption des données est activé.
Je l'utilise surtout pour empêcher des machines hors domaine d'accéder à des
ressources du domaine (isolation).
Environ 5% de cpu sur des processeurs récents
--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com
"Jacques Barathon [MS]" <jbaratho@online.microsoft.com> wrote in message
news:%233c%23ZShdHHA.2332@TK2MSFTNGP04.phx.gbl...
"bigstyle" <bigstyle75@free.fr> wrote in message
news:mn.1a757d745bec63da.70874@free.fr...
Bonjour,
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-).
Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes
postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft
http://support.microsoft.com/kb/315669/fr qui traite de la façon de
durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le
contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce
genre de changements.
L'article ne traite pas des conséquences de telles modifications (en
terme de charge réseau supplémentaire), et je ne suis pas persuadé qu'en
suivant ces règles les postes seront à l'abri de déni de service.
Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un
réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas
franchement besoin de les protéger contre un risque de déni de service.
Si tu crains une attaque sur ton réseau interne, regarde éventuellement du
côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il
existe de nombreuses docs en ligne sur le sujet, notamment le whitepaper
de l'informatique interne de Microsoft sur notre propre implémentation
d'IPsec (en anglais):
http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx
tout à fait d'accord, en revanche ipsec consomme des ressources, surtout lorsque l'encryption des données est activé.
Je l'utilise surtout pour empêcher des machines hors domaine d'accéder à des ressources du domaine (isolation).
Environ 5% de cpu sur des processeurs récents
-- Cordialement, Mathieu CHATEAU http://lordoftheping.blogspot.com "Jacques Barathon [MS]" wrote in message news:%233c%
"bigstyle" wrote in message news:
Bonjour,
je ne suis pas un "pro" du réseau mais j'essaie de m'améliorer ;-). Mon but est d'ajouter un peu de sécurité à la couche réseau TCP/IP de mes postes de travail (XP/2000) et serveurs (NT/2000/2003).
Je connais cet article Microsoft http://support.microsoft.com/kb/315669/fr qui traite de la façon de durcir davantage la pile TCP/IP.
Maintenant j'ai des doutes sur l'efficacité de ces méthodes car le contenu ne me semble pas exhaustif et j'ai peur de mettre en place ce genre de changements. L'article ne traite pas des conséquences de telles modifications (en terme de charge réseau supplémentaire), et je ne suis pas persuadé qu'en suivant ces règles les postes seront à l'abri de déni de service.
Tes postes sont-ils directement exposés sur Internet, ou sont-ils sur un réseau privé derrière un pare-feu? Dans ce dernier cas, tu n'as pas franchement besoin de les protéger contre un risque de déni de service.
Si tu crains une attaque sur ton réseau interne, regarde éventuellement du côté d'IPsec pour limiter le trafic aux seules machines autorisées. Il existe de nombreuses docs en ligne sur le sujet, notamment le whitepaper de l'informatique interne de Microsoft sur notre propre implémentation d'IPsec (en anglais): http://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx