Configurer votre réseau pour le blocage des ports (2)

ou tel port sans installer un
pare-feu personnel sur chaque ordinateur,
introduisant ainsi un nouveau
type de problèmes. Cependant, le blocage
des ports reste un moyen efficace
pour sécuriser des machines client et
les administrateurs système doivent
connaître suffisamment cette technique
pour trouver et suggérer une solution
à  des problèmes de sécurité
client spécifiques, même s’ils ne sont
pas chargés d’appliquer eux-mêmes la
solution. Il faut configurer le réseau
pour conférer au blocage des ports la
plus grande souplesse possible. Le
moyen le plus simple consiste à  segmenter
le réseau, physiquement ou
virtuellement (s’il est configuré avec
un équipement de commutation permettant
les segments virtuels). On
peut ensuite mettre en oeuvre le blocage
des ports (ainsi que d’autres
contrôles de trafic du réseau) sur les
seuls segments de réseau que l’on veut
affecter.

Dans le cas de la segmentation
physique, on divise généralement les
parties du réseau d’après l’emplacement
géographique (chaque corps du
côté gauche du troisième étage, par
exemple). Malheureusement, la segmentation
physique ne correspond
pas toujours à  l’organisation des services
de l’entreprise. A l’inverse, le réseau
virtuel peut généralement être
contrôlé jusqu’au niveau du port sur le
commutateur (c’est-à -dire, les ports
physiques rattachés à  la boîte de commutation,
et pas les ports TCP/IP dont
il est question quand nous parlons de
blocage des ports), ce qui signifie que
vous pouvez grouper les utilisateurs
d’après n’importe quel critère de votre
choix. On peut, par exemple, identifier
les utilisateurs non autorisés à  utiliser
l’AIM (AOL Instant Messenger), puis
bloquer le port qu’AIM utilise pour ces
seuls utilisateurs.