Trucs & Astuces iSeries : virus et utilisateurs, IP Spoofing, SMS

Q : Nous utilisons un filtre e-mail puissant et un serveur
proxy Web pour analyser tous les fichiers téléchargés
par nos utilisateurs, pour détecter d’éventuels virus,
et nous exécutons un package antivirus, à  automaintenance,
sur toutes nos machines desktop et
serveur. Nous avons ainsi conservé notre réseau
propre et net – jusqu’à  récemment. Un lundi matin,
j’ai eu la désagréable surprise de découvrir que
beaucoup de nos serveurs étaient infectés par un
virus à  cause d’une vulnérabilité qui avait juste été
annoncée pendant le week-end. Notre système de
filtrage de virus avait téléchargé automatiquement
la signature pour ce virus, donc il n’aurait pas dû
pouvoir pénétrer dans le réseau.
J’ai fini par trouver l’origine du problème : le
portable d’un consultant qui avait été branché au
réseau le samedi et qui était apparemment infecté
par le virus. Comme le consultant en question
n’utilisait pas notre logiciel antivirus, le problème
n’a pas pu être détecté avant que l’infection ne se
répande.
A moins d’interdire aux consultants de se connecter
à  notre réseau, comment pouvons-nous empêcher
ce problème à  l’avenir ?

Permettez-moi tout d’abord d’énoncer la règle d’or du rapport
avec les consultants : ne laissez jamais, jamais, un
consultant brancher un ordinateur étranger à  votre réseau
protégé. Qui sait où ce portable a été et quelles maladies numériques
il a contractées en cours de route ?
Cette règle s’applique aussi aux autres intervenants
extérieurs, comme les clients, les
membres du conseil d’administration et les
réparateurs de distributeurs automatiques.
Si vous les laissez se brancher à  votre LAN,
vous serez le seul responsable des infections
résultantes.
Parfois, les consultants et d’autres partenaires
demanderont l’accès à  Internet lorsqu’ils
sont dans vos locaux. Si vous avez l’intention de leur
donner satisfaction, vous devez établir un service protégé à 
cet effet. Oui, c’est cher, mais bien moins que de désinfecter
quelques centaines d’ordinateurs. Vous pourriez créer un
VLAN ou un segment Ethernet dans votre DMZ (zone démilitarisée)
avec son propre pare-feu et permettre aux visiteurs
de se connecter sur le côté privé de ce pare-feu. Même cela
peut encore être dangereux, car la personne en question
pourrait submerger votre bande passante montante, causant
des problèmes de performance Internet sur votre réseau.
Une meilleure solution consiste à  obtenir une connexion
Internet large bande complètement séparée pour votre VIP
(Visiting IP user). Un DSL ou un modem câble peu coûteux
peut faire l’affaire et vous donne une excellente porte arrière
pour tester les problèmes de connectivité extérieure à  cette
occasion. Faites simplement attention à  ne jamais, jamais,
connecter cette ligne de porte arrière à  votre LAN privé !