jacjac
-
21 févr. 2018 à 05:02
Whismeril
Messages postés19026Date d'inscriptionmardi 11 mars 2003StatutContributeurDernière intervention20 avril 2024
-
21 févr. 2018 à 07:53
Bonjour,
je viens vers vous pour résoudre un souci de sécurité.
imaginez 18 machines 3 routeurs qui cohabitent
des petits génies de l'informatique qui viennent tester la plage d'ip
histoire de s'amuser, on modifie quelques éléments et votre "vaste" réseau se casse la g..
...
Précisions pour les puristes et les accros à la loi :
j'en ai rien à faire que quelqu'un vienne s'entrainer devant chez moi.
Mais vraiment rien.
et il n'est pas dans ma nature d'aller courir chez les bleus pour leur dire
oh protégez-moi j'ai un vilain informaticien qui pirate mon réseau...
Ils en ont rien à faire et pour moi c'est une perte de temps que de faire cela
J'ai de la chance, jusqu'à présent,
jamais de casse sauf lorsqu'on tape dans les routeurs... par définition tout le réseau est parterre.
mais là encore, ce n'est pas trop dramatique, je peste mais cela ne va pas plus loin.
mon idée est la suivante : sur une machine qui ne fait que cela,
toutes les x heures, un script qui irait chercher
un fichier bin correspondant à l'image des configurations du routeur.
exemple normal
J = monfichier.bin dans machine ZZ
J= routeur AA
J+24H = script dit "aller chercher sur ZZ le fichier.bin puis aller sur AA et faites une MàJ du bin
J+24H +10mn le routeur AA possède la même configuration qu'à l'installation
J+48H= l'instruction J+24H est effectuée
J+72H= idem
exemple avec virus
J = monfichier.bin dans machine ZZ
J= routeur AA
J+24H = script dit "aller chercher sur ZZ le fichier.bin puis aller sur AA et faites une MàJ du bin
J+24H +10mn le routeur AA possède la même configuration qu'à l'installation
J+27H un virus, un programme vient modifier la config de AA
J+48H= l'instruction J+24H est effectuée
le virus et/ou la modification des programmes qui engendraient les perturbations sont éradiqués...
bémol
durant les 21h qui suivent de la prochaine mise à jour du fichier.bin, le réseau est down ou si une machine est infectée, au rebootage de AA, elle sera isolée du reste du réseau. Dès l'instant où l'accès est bloqué, sauf si la personne est en vacances, l'utilisateur informera l'adm pour lui dire avoir un problème...
En supposant que l'on fasse un tel script,
vous me direz : cela ne marchera pas car la bécane en charge de faire le travail de mAj, sera systématiquement infectée.
C'est pas faux mais c'est pas vrai :
C'est pas faux parce que la machine sera infectée comme les autres.
Donc pour limiter la casse et le potentiel vérolage du fichier.bin sur la machine ZZ, il faut remplir 2 conditions :
rendre ZZ inatteignable durant les 24h
rendre le fichier.bin inviolable.
Solution possible :
dès l'instant où ZZ a fini sa MAJ, la machine s'éteint jusqu'à la prochaine maj programmée ( ici 24h)
il faut ensuite protéger le fichier.bin
2 solutions
solution 1 mettre le fichier.bin sur un CD ou sur un SDcard.
comme il n'y a pas de graveur sur ZZ, difficile à distance de venir modifier le programme et mettre un autre CD à la place. Faudrait être c.. comme la lune de faire tout cela alors qu'on est dans la place et qu'il suffit de piquer les pc...
la sdcard est beaucoup moins volumineuse et surtout on peut empêcher l'écriture physiquement.
donc mon fichier.bin est protégé.
En supposant que la machine AA vérolée par un changement de réseau on passe de 192 à 10.
il suffit que ZZ ait en mémoire l'adresse MAC et qu'il soit adaptable au routeur
hier la machine AA était en 192 après l'intervention de ZZ
aujourd'hui à l'instant où ZZ est mis en service, elle se met en dhcp automatique et recherche de la machine AA non plus par ip mais par MAC
Je vous remercie de votre attention et surtout des réponses que vous pourrez m'apporter.
