Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[STAGE] Besoin d'aides/conseil pour être sysadmin
Bonjour tout le monde.
Je vais prochainement faire un stage dans une entreprise.
Il veulent que s'effectue un audit de leur SI.
Ce n'est pas une grosse entreprise : pas beaucoup de postes, ce qui fait que je serai le seul informaticien.
Du coup j'aimerais avoir deux trois conseils sur les tâches primordiales a faire.
Les softs un peu incontournable s'il en a.
Et toute information qui me serai utile.
Merci les amis
De mon point de vue, un audit commencerais par un audit des ressources et du réseau. Je soupçonne une croissance anarchique et non maitrisée.
Donc :
- Inventaire des équipements réseau (switch, routeurs, box, câble)
- Inventaire des postes de travail (adresse IP, MAC, OS)
- Inventaire des VM et des postes où ils sont hébergées (c'est pas très facile cette partie là car assez temporaire et mouvant)
- Inventaire des serveurs (machine, OS, fonctionnalités)
- Inventaire des ressources communes (imprimantes, fax, téléphone IP et/ou RTC, poiunts d'accès Wifi, point d'accès Internet, liaison avec des fournisseurs ou clients externes)
- Inventaire des besoins non couverts actuellement (VPN, accès entrants, accès sortants, ...)
- Schéma réseau complet et à jour
Les outils maintenant :
- Excel (pour la partie inventaire)
- Visio (pour la partie schéma)
- nmap, incontournable pour le dressage de l'inventaire
Une fois que tout cela sera fait, tu auras une vision plus claire du réseau et ensuite, tu pourras faire de l'audit sécurité sur les point critiques
Raymond
Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi
CafuroCafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
e-verbe
Ma page personnelle sur DVP.
Oui merci j'étais justement en train de chercher des softs pour établir une cartographie d'un SI.
Je me demandais si il était utile d'établir une DMZ aussi, vu que mon entreprise est une flopée de petite boutiques liées à un centre décisionnel.
Je vais intervenir sur chacun de ces sites et je me demande si le comportement à adopter est le même que pour une grosse entreprise où tout est centralisé.
Auriez vous aussi des liens que je pourrai étudier. Et des règles d'or a suivre.
Merci de votre temps monsieur.
Aussi j'ai vu qu'il y avait possibilité de cartographier automatiquement un reseau.
Qu'est ce que vous en pensez ?
Est-ce qu'il vaut mieux le faire à la main ?
Mouais ... Cela dépend des outils de cartographie mais j'ai peur que cela oublie des choses (et plus la sécurité est avancée sur un réseau, plus la cartographie automatique sera incomplète)Envoyé par SpoOnK
Raymond
Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi
Cafuro
e-verbe
Ma page personnelle sur DVP.
Un logiciel d'inventaire de parc peut tout de même faire gagner pas mal de temps, mais il faut partir du principe que les données remontées peuvent être incomplètes. De ce fait, une vérification sera nécessaire. L'avantage, c'est que si un schéma logique apparait, sur certaine branche tu pourras te contenter de vérifier qu'un échantillon de machine plutôt que l'ensemble de la branche.
Je compléterai la liste de ram-0000 par l'inventaire des logiciels utilisés sur l'ensemble du parc. On oublie souvent de vérifier les softs utilisés sur un parc, ce qui peut poser certain problème. Le but peut être d'harmoniser les différents logiciels, garantir le respect des licences (lors d'un contrôle on peut avoir de très mauvaises surprises).
Si tu ne sais pas par où commencer, je te conseillerai de mettre à jour (ou de créer) le schéma du réseau de ta boîte.
+1 pour l'inventaire des logiciels
Je l'avais oublié car je n'en fais jamais, je me contente de l'aspect réseau. La partie IT n'est pas mon domaine
Raymond
Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi
Cafuro
e-verbe
Ma page personnelle sur DVP.
R.A.T adapté pour une entreprise
Rebonjour,
Après quelques analyses de logiciel utilisé.
Il s'avère qu'ils utilisent VNC pour accéder a distance aux serveurs de leurs différentes boites.
Et c'est une TRES vieille version de VNC.
Apparemment le trafic passe en clair, et ce soft n'est pas plébiscité pour sa sécurité
http://www.cert.ssi.gouv.fr/site/CERTA-2006-AVI-198/
http://security.fnal.gov/CriticalVuln/vnc.html
http://forum.ultravnc.fr/index.php/topic,748.0.html
J'ai fait quelques recherches et il existe des solutions comme Teamviewer, LogMeIn ...
Un autre solution consisterai aussi a tunneler le trafic de vnc par ssh ...
J'aimerai connaitre vos avis de pro a ce sujet.
Merci
vnc sert à prendre la main à distance sur un poste. C'est plutôt utilisé en usage interne sur le réseau local. Teamviewer ou logmein fait la même chose en passant par le web, donc tu peux prendre la main sur une machine depuis n'importe ou à condition d'avoir un accès internet. Si usage de logmein en réseau local, tu passeras par Internet pour la connexion.
Je n'utiliserais pas VNC pour accéder à distance sur un serveur, ou sinon à travers un VPN.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Les connexion Team Viewer passent par un serveur Team Viewer (hébergé où, je n'en sais rien, peut être aux US). Alors oui, c'est peut être mieux sécurisé mais cela passe par un serveur que tu ne maitrises pas (je suppose que c'est pareil pour LogMeIn).
Team Viewer est payant pour une utilisation professionnelle (ton cas), VNC est gratuit, je ne sais pas pour LogMeIn.
Oui mais... Attention, le chiffrement n'est pas tout dans la sécurité. Ce n'est pas parce que la connexion est chiffrée que la sécurité est bonne. Tu peux avoir des failles sur ton système qui restent exploitables même au travers d'un tunnel SSH.
Si je fais une analogie avec HTTP/HTTPS, le fait de chiffrer (HTTPS) n'enlève absolument pas les failles d'injection SQL ou autre XSS. L'attaque sera chiffrée, c'est tout. Dans le cas HTTP/HTTPS, le chiffrement ajoute uniquement le fait que les sessions/mots de passe ne passent plus en clair et aussi une certaine garantie que le site WWW atteint est bien le bon (à cause du certificat si c'est un vrai certificat).
La sécurité se pense de manière globale.
Raymond
Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi
Cafuro
e-verbe
Ma page personnelle sur DVP.
Merci de vos réponse chrtophe et ram-0000
Desolé je n'ai pas été assez précis.
En fait la société où je fais mon stage est composée d'une flopée de boutique
Je compte aussi installer un firewall qui bloquera toutes les connexions extérieures sauf celle ayant les ip publiques des boutiques, et éventuellement l'IP publique du patron et de quelques employés.
Le fait de chiffrer : je pensais plutôt au fait que les infos puissent être interceptées ou passer par un serveur tiers comme vous l'avez dit tout les deux.
Utiliser VNC dans ces conditions pour un acces a distance ca passe non ?
Ca vous parait globalement satisfaisant ?
Si c'est ponctuel. Moi je monterais un serveur ssh activé par port knocking, et lancerais le service vnc via ssh. Le service vnc sera donc non lancé par défaut.
logmein est devenu payant.
LE mieux pour prendre la main sur un serveur, c'est de le faire via un poste client et pas en direct.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Mais c'est génial je connaissais pas cette featureMoi je monterais un serveur ssh activé par port knocking. Malheuresement les routeurs de ma boite sont ultra vieux et ne permettent pas ça
Excuse moi je n'ai pas compris cette phraseLE mieux pour prendre la main sur un serveur, c'est de le faire via un poste client et pas en direct.
Ce que je veux dire :Le mieux pour prendre la main sur un serveur, c'est de le faire via un poste client et pas en direct.
Tu te connectes sur un des ordis de la boite. A partir de cette machine, tu te connectes sur le serveur. Pas de connexion directe avec le serveur.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Bonjour je suis de retour !
J'ai encore une question.
En ce moment je dois gérer un accès aux camera surveillance depuis l’extérieur.
J'ai configuré le NAT pour rediriger les accès sur un certain port disons 4242 vers le serveur de vidéosurveillance.
Or j'arrive pas a me connecter depuis l'exterieur.
Un scan nmap depuis l'exterieur ne découvre même pas ce port (alors que pour l'heure le pare feu du serveur video est désactivé).
Est ce que vous auriez une piste car je reconnais que je vois pas là...
Cordialement
Un peu de programmation !
Rebonjour, là j'ai quitté un peu le domaine du reseau pour installer une nouvelle Webcam HD sur bras mecanique.
Il y'a juste a appuyer sur une touche et hop un photo sors.
Or comme dans la société les filles sont pas super douée en informatique il faudra que je programme un truc qui mette automatiquement l'image où il faut, et la renomme.
Et aussi que des la capture ca puisse l'inclure dans un devis sous word.
J'avais pensé faire ca en batch mais je suis pas super doué, je connais pas du tout ce langage, et sa "puissance".
Est ce que vous auriez des suggestions ? merci
Cordialement
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager