bon, gros bide donc.
Et surtout pas très sport de votre part ...
Je suis partagé entre l'envie d'expliquer et celle de revenir dans 1 ou deux ans pour relancer ces propos ...
(être avant-gardiste cela se paie le prix fort, j'ai l'habitude)
Alors on va commencer doucement avec des lectures, car si vous aviez les connaissances techniques concernant les briques mentionnées vous auriez réagis autrement , mais soit ...
- 802.1x, radius , pki : je n 'explique pas car si vous bossez dans le sécu et que vous ne maîtrisez pas ... autant me taire.
.. au cas ou :
http://fr.wikipedia.org/wiki/IEEE_802.1X- NAP/VLAN :
http://msdn.microsoft.com/en-us/library/cc895519(v=vs.85).aspx, en gros l'acceptation sur le réseau en L2 est déjà sécurisée en utilisant massivement le chiffrage fort etc =>surface d'attaque interne réduite.
Les bases :
http://fr.wikipedia.org/wiki/Network_Access_ProtectionDe plus la présence d'un élément du réseau (poste de travail, serveur, firewall, sonde etc) dans telle ou telle zone dépends complètement de l'empreinte (ou signature) sécuritaire que présente cet élément (à ce sujet quelques lecture concernant NexThink vont vous plaire).
... ainsi au moindre doute (comportement réseau anormal => @home mon WatchGuard x750e détecte aisément ce genre de comportement et bloque la machine) il est basculé via le commutateur compatible 802.1x dans la zone d'analyse puis en fonction du symptôme cet élément est basculé vers une zone de quarantaine, on peut encore penser une zone de destruction de l'élément (dans le cas de VM, on stoppe la VM)!
- Virtualisation du réseau et des machines via les technos en cours :
=> en cas d'attaque massive ou d'infiltration TOUTES l'architecture (système, réseau et sécurité) peut revenir à l'état pré-sinistre : on peut rejouer l'attaque et l’empêcher ... aussi simple qu'à l'époque des magnétoscope VHS !
C'est purement énorme , vous suivez ?
Je vous donne quelques scenarii, mais avec les snapshots de VM on peut aller très loin, faites mumuse avec Xenserver (c gratos).
Contrepartie : le réseau des hyperviseurs doit être parfaitement isolés des zones à risques (connaissez-vous le genre d'outil INDISPENSABLE samhain :
http://www.la-samhna.de/samhain/)
Pour faire simple : l'assaillant NE DOIT QUE circuler sur l'infra. virtuelle, l'utilisateur peut être l'assaillant donc ...
Le poste de travail virtualisé devient inéluctable et présente à mon avis la meilleur sécurisation possible d'un OS ...
http://www.youtube.com/watch?v=ki3oj6x2BvE : enorme !!! imaginez les possibilités offerte par XenClient... (
http://www.youtube.com/watch?v=pH6M6FFqQPM)
Ne vous y trompez pas si des acteurs comme Cisco , Arkoon etc se mettent à proposer leurs derniers joujoux en VM ce n'est pas pour être à la mode.
Bon après si je vous semble flou, fou ... les deux ... à vous de reprendre point par point et argumenter cela sera plus constructif.
Peut être lisez vous ceci :
http://www.zdnet.fr/blogs/virtuanews/vi ... 750184.htm, mais donc on a à faire à des gens malformés, des architectures mal pensées ...
bien entendu dans vos connaissances techniques je considère comme acquis les notions de filtrage de flux, sonde, ids, nids, parefeu utm etc ... et surtout (ce qui semble être flou chez certain) les architectures virtualisées à haute disponibilités : j'invite l'un de vous deux à venir voir un vrai Datacenter, on en est plus à la chtite tambouille des PME d'il y a 10 ans ....
Chez Google si un container présente le moindre incident ou suspicion : on le change dans l'heure !!!
C dur de passer .. à travers ce firewall !!!