Mieux vaut prévenir que guérir

mardi 27 février 2007, par Richard TIMSIT

Toutes les versions de cet article : [français] [fr_pda]


Héritage du savoir-faire et de l’expérience du réseau de quarantaine (FI 10 du 16/12/2003), nous avons construit un réseau de remédiation sur le réseau d’amarrage. Ainsi sur toute prise en libre service (prises jaunes)ou à travers les points d’accès WiFi pour le SSID public-epfl, le réseau de remédiation offre ses services.

Qu’est-ce qu’un réseau de remédiation ?

C’est un réseau sur lequel on pourra brancher une machine que l’on n’ose pas raccorder à EPNET (le réseau de l’EPFL) parce que son OS et/ou son antivirus ne sont pas à jour. Il permet de mettre à niveau, à travers le réseau, une machine dont on n’est pas sûr, à la fois pour la protéger et pour protéger le reste des machines de la communauté. Ainsi l’iconographie associée au Safe Network prend tout son sens...
Ce réseau est conçu pour donner accès aux ressources qui pourront permettre de s’informer, de contrôler si des mises à jour du système sont nécessaires et de les réaliser en cas de besoin. Pour les machines Windows, la réalisation d’un Windows-Update, le téléchargement des différents patches de Microsoft est possible de même que la mise à jour de l’antivirus proposé sur Winsec avec la synchronisation de l’agent EPO.
La liste des serveurs rendus accessibles sur ce réseau obéit à la même préoccupation que pour la mise en quarantaine : permettre d’utiliser le réseau pour augmenter la sécurité de son poste de travail. La comparaison avec la quarantaine s’arrête là, car ici la démarche est volontaire et préventive sur une machine censée être saine.

    1. winsec.epfl.ch - les dernières informations sur la sécurité de ces machines.
    2. *.microsoft.com - pour la documentation, les patches et pour utiliser Windows-Update
    3. vil.nai.com - pour s’informer auprès d’un éditeur de produits antivirus
    1. macline.epfl.ch
    1. linux.epfl.ch
    2. sunline.epfl.ch
    1. mirror.switch.ch

Un chapitre Poséidon sera le bienvenu pour offrir l’accès à un dépôt de logiciels à jour. C’est dans l’esprit d’offrir l’accès à un tel dépôt que mirror.switch.ch est rendu accessible. Toute autre proposition sera favorablement accueillie.

Comment c’est fait ?

Pour qui aura lu l’article du Flash informatique mentionné sur la conception du réseau de quarantaine, la réponse sera presque évidente, ce qu’il faut juste comprendre sur le plan technique c’est que la machine qui se trouve dans un tel réseau n’a accès qu’à ce que veut bien laisser passer son routeur par défaut.

Comment y rentrer ?



La page d’accueil du réseau d’amarrage atteinte par n’importe quel butineur vous invite à rentrer dans le Safe Network pour peu que vous soyez invité (Accès Réseau pour Hôtes) ou membre de l’EPFL, car vous aurez à vous authentifier, comme le montre la figure ci-après. Une page d’avertissement intermédiaire présente le service, donne les conditions générales d’utilisation et propose l’URL https://enclair.epfl.ch/index.php?url=http://remediation.epfl.ch/GO sur laquelle vous devez cliquer pour profiter du service. Cette URL est à mettre dans vos favoris si vous êtes un vrai nomade et comptez devenir habitué du service, elle n’a de sens que sur le réseau d’amarrage.

L’authentification est indispensable, car il faudra comme sur EPNET pouvoir répondre de ce que l’on aura fait des ressources offertes sur ce réseau./p>

Comment en sortir ?

Le bouton Exit tout en haut de la page vous donne la possibilité de sortir tout propre de ce réseau une fois que vous aurez bénéficié des services dont la liste, qui ne demande qu’à s’allonger, est proposée dans cette page d’accueil.

Pourquoi s’en servir ?

Parce qu’il vaut mieux prévenir que guérir. Toute machine douteuse devrait faire un passage en remédiation avant d’être connectée sur EPNET. Une machine neuve dont l’OS est préinstallé doit être aussi considérée comme douteuse. Pensez aussi aux machines virtuelles rarement instanciées, à l’OS que l’on n’utilise que rarement sur une machine en dual boot, ou enfin à la récupération d’une ancienne image de machine. Une prise jaune dans un laboratoire sera un bon point d’accueil pour un visiteur ou pour un nomade qui redevient sédentaire. De telles prises sont à disposition au Help Desk du DIT ou de Poséidon.

Liens utiles

  1. http://network.epfl.ch/libre-service - page d’accueil pour tout ce qui concene le libre service à l’EPFL.
  2. http://network.epfl.ch/enclair - pour la définition du réseau d’amarrage
  3. article 350 - article sur le réseau de quarantaine
  4. http://support-it.epfl.ch/ - Helpdesk du Domaine IT
  5. http://winsec.epfl.ch/ - Securité Windows à l’EPFL

Documents joints


Richard TIMSIT

FI 2 du 27 février 2007

Mots-clés

Accueil du site