Le 19-06-2008, DAPL <nospam@free.fr> a écrit :

2- S'il n'y a pas de firewall pour protéger les machines et ne
laisser passer que ce que tu as décidé d'autoriser, ben c'est le
moment d'en installer.

Il y a bien sûr des équipements de sécurité performants, mais qui ne
servent à rien puisque ces softs utilisent les ports HTTP ou HTTPS.

Donc ils ne sont pas performants. Un firewall est capable de différencier
un flux HTTP sur le port 80 d'un flux autre (comme du VNC) sur le port 80.
Pour l'HTTPS, il existe des équipements qui cassent le flux SSL pour
l'analyser (en fait c'est le proxy qui négocie l'échange avec le serveur
distant et qui rechiffre en SSL avec un certificat valide vers le client).

Si ton problème est uniquement technique, il existe surement une
solution permettant de bloquer ces flux. Ce dont tu disposes à l'heure
actuelle ne le permet peut etre pas, donc si tu veux une reponse
technique, c'est: change de matériel.

On
peut donc se retrouver avec une connexion directe sur des machines, qui
sont elle-même sur un LAN.

Oui. Mais dans ton schéma de sécurité, je pense que tu ne fais de toute
façon pas une confiance aveugle aux machines situées sur le LAN?

Donc que l'utilisateur soit derrière son clavier dans son bureau, ou
bien de l'autre bout de l'internet et pilotant sa machine, quelle
différence?
Une autre question est: _qui_ a accès aux machines, une fois les
mécanismes dont tu parlais mis en place?
Car imaginer un utilisateur pilotant sa machine n'a rien a voir avec
imaginer une machine du LAN accessible a tous. Bien évidemment, ton cas
ajoute des chainages: l'utilisateur chez lui, donc un poste non maitrisé,
donc potentiellement compromis, ce qui par boule de neige permet à un
tiers de se connecter sur une machine d'entreprise.

Mais l'idée de vérrouiller les machines est évidemment séduisante, si
tant est qu'elle soit réaliste.

Et pourquoi pas?
--
Kevin