Les trucs & astuces de la semaine du 31Octobre au 6 Novembre 2005
Le filtrage vers l’extérieur : la solution pour contrer les attaques virales lors de la MAJ d’une machine victime !
Q : Nous avons subi des vagues d’attaques de virus dans l’entreprise, et ce
malgré la présence du tout dernier logiciel antivirus. Chaque fois, les virus
ont exploité une nouvelle faille de Microsoft Windows avant que
nous n’ayons eu le temps d’installer les derniers correctifs de Microsoft.
Dans certains cas, pour être sûrs que les ordinateurs étaient débarrassés
du virus, nous avons réinstallé entièrement Windows. Malheureusement,
après cette réinstallation, nous devons mettre l’ordinateur, non
protégé à ce stade, sur le réseau afin de transférer les nombreux correctifs
Microsoft. Pendant cette opération, le virus réinfecte souvent les
ordinateurs objets de la mise à jour ! Nous avons demandé à Microsoft
s’il est possible d’installer les correctifs à partir d’un CD, mais la réponse
est négative, parce que le processus de mise à jour est dynamique.
R : Il existe plusieurs solutions à votre problème. Tout d’abord, vous pouvez utiliser
le RIS (Remote Installation Service) Microsoft pour installer une image
entièrement patchée à partir d’un serveur Windows 2003, mais cela demande
un important investissement en matériel et logiciel Microsoft.
Deuxième solution : recourir à un utilitaire comme Ghost de Symantec,
préconstruire un CD ou DVD de distribution Windows avec tous les correctifs
appliqués, et utiliser cela pour recharger le systèmes défaillants. Mais il
faut alors posséder un jeu distinct de CD OS pour chaque configuration matérielle
unique dans l’entreprise et les maintenir tous au niveau des derniers
correctifs. Ces deux solutions demandent du personnel qualifié et supposent
l’acquisition d’un logiciel coûteux.
Il est une troisième solution à la fois ingénieuse et bon marché. Elle m’a
été présentée pour la première fois par un jeune ingénieur réseau nommé
Brandon Roberts. Sa Swat Box Solution est constituée d’une appliance parefeu
grand public ne coûtant que 50 dollars, spécialement programmé pour filtrer tout le trafic à l’exception des mises à jour de Microsoft, vers et à partir
de l’ordinateur victime.
Brandon utilise le routeur large bande Ethernet à 4 ports DI-604 D-Link,
mais vous pouvez utiliser n’importe quelle appliance pare-feu Ethernet capable
de filtrer les paquets sortants au niveau des ports. Vous devez alors
configurer la boîte pour qu’elle se comporte comme un client DHCP vis-à -vis
de votre LAN et comme un serveur DHCP vis-à -vis de l’ordinateur victime. Il
faut aussi configurer la boîte de manière à bloquer tout le trafic TCP et UDP
sortant, excepté pour DNS (port 53), HTTP (port 80) et HTTPS (port 443).
Après quoi, connectez le port LAN de l’ordinateur victime au port LAN
de la Swat Box et votre câble LAN d’entreprise au port WAN de la Swat Box.
La Swat Box va autoconfigurer les adresses IP sur les deux interfaces puis agir
comme gardien pour protéger l’ordinateur victime de tout autre trafic entrant
porteur de virus. A l’aide du NAT (Network Address Translation), la
Swat Box filtre toutes les requêtes de connexions entrantes, y compris le trafic
de virus entrant. Le filtrage vers l’extérieur empêche les éventuels virus de
la machine victime de contaminer le réseau local pendant l’opération de
désinfection et de mise à jour.
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.