Antivirus et serveurs

Antivirus et serveurs - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 03-04-2013 à 20:38:15    

Bonjour à tous,
 
Poussé par de joyeux forumeurs avides de rosseries et de clavier martyrisés par des doigts enragés, je lance ce sujet, haut combien sensible, mais qui peut se révéler instructif si chacun tente d'y contribuer avec rigueur technique :
 
Faut-il absolument un antivirus sur chaque serveur ? [:kzimir]
 
La réponse est à construire mais la question se pose nécessairement pour qui s'intéresse à la sécurité.
En effet, on ne peut pas imaginer un garde du corps qui ne remet jamais en cause des procédures qu'il a lu à droite à gauche, se demandant si elles sont adaptées à une réalité.
A ne pas s’intéresser aux différentes formes du danger et à ses façons de survenir, que valent les contre mesures qu'on adopte ?
 
Trève de littérature, le danger : l'abominable virus !
 
Un bout de code qui a la particularité de vouloir se répliquer, soit par des mécanismes internes, soit par ingénierie sociale
Le second mécanisme de duplication est le plus utilisé : le virus se masque dans un autre programme ou se fait carrément passer pour autre chose en modifiant son simple nom et l'utilisateur non averti le récupère, le déplace, l'exécute.
Le premier mécanisme est moins utilisé mais nourrit les légendes urbaines : le virus s'installe de lui-même, via le réseau, sur le système d'exploitation, sans intervention humaine. Comme la magie n'existe pas, le virus exploite en fait des failles sur des services systèmes en écoute (exemple de Conficker qui avait fait grand bruit en fin 2008/2009), des services d'applications tierces en écoute (exemple du fameux VNC 4.1 que des générations de supers admins ont installé un peu partout. On en trouve encore) ou des applications qui tournent et traitent des données provenant de l'extérieur (exemple de la dernière faille JAVA).
 
La cible : le serveur
 
le serveur est un système d'exploitation avec ses propres services qui tournent et sont à l'écoute ou des services tiers qui tournent et sont à l'écoute.
Il court les mêmes dangers que le poste client :
- l'utilisateur fou qui télécharge n'importe quoi, si possible via des vecteurs hautement aventureux (P2P, sites WEB avec têtes de morts qui tournent, etc.)
- la faille dans un service ou une application.
 
Peut-on écarter le danger de l'utilisateur fou concernant les serveurs ?
Si ce dernier a tout pouvoir sur son PC, il n'accède pas au serveur, ni physiquement, ni à distance pour administration.
Mais il peut avoir des actions possibles sur le serveur, par exemple via TSE pour des applis partagées, ou en faire un vecteur de propagation à défaut d'être infecté lui-même, par exemple un serveur de fichiers.
Et puis l'utilisateur fou et l'admin ne peuvent faire qu'un. Ça se voit parfois.
Dans ces cas là, l'antivirus parait indispensable.
Mais si l'admin n'est pas fou, qu'il n'installe sur le serveur que des services systèmes ou des applis provenant de packages vérifiés, et que les utilisateurs n'ont pas accès au serveur, alors le virus ne peut pas se propager par ingénierie sociale.
Dans ces cas là, l'antivirus ne parait pas indispensable.
 
Peut-on écarter le danger de la faille concernant les serveurs ?
On touche là le fond du sujet.
Pour qu'un virus s'exécute sur un serveur par ce biais, il faut :
- un service avec une faille. Il n'y a pas obligatoirement de failles sur un service ou alors pas toujours découvertes et/ou exploitées.
- que le service s'exécute. Une faille sur IIS alors que mon serveur fait tourner DNS ne va pas permettre au virus de s'implanter.
- que le service soit à l'écoute. Une faille IIS ne va pas permettre à un virus de s’exécuter sur mon serveur qui a le rôle éponyme si mes ports 80/443 ne sont pas ouverts.
- que la faille en question ne soit pas corrigée.
 
Donc un virus peut s'exécuter si j'ai un service avec faille non corrigée qui tourne, qui écoute et qui n'est pas bloqué à l'écoute (pare-feu).
Ca peut sembler rébarbatif à certains mais c'est très très loin d'être entendu par quelques interlocuteurs que j'ai croisé.
 
Si je suis dans ce cas là, l'antivirus parait indispensable.
 
Mais avant l'AV, d'autres contre mesures pourraient prévenir le problème :
- ne pas faire tourner et placer à l'écoute des services inutiles.
- ne pas permettre l'écoute de services sur Internet si cela n'est pas utile.
- veiller à mettre à jour son OS et ses applicatifs. Sur ce point le cas pratique de Conficker est instructif. Il a plongé dans le noir des tas de SI à partir de novembre 2008 et sur une partie de 2009. La faille était corrigée par Microsoft ... un mois avant en octobre 2008 !
 
Si je me retrouve donc avec un serveur qui fait tourner un unique service, que je maintiens à jour, seul en écoute sur le réseau local, et des postes clients eux protégés par AV, ai-je besoin d'un antivirus sur le serveur ?
Ici, les risques d'infection sont très réduits, peut-être quasi inexistants.
Mais par principe de précaution, me direz-vous, pourquoi ne pas lâcher une licence AV sur ce serveur ? Cela ne coûte pas grand chose.
Et bien parce que l'AV n'a pas que des bienfaits.
Il peut gréver très sensiblement les performances d'un service, même configuré pour s'adapter à ce service.
J'ai rencontré plusieurs fois ce problème sur des SGBD (Oracle - SQL Server) par exemple, où même désactivé, l'AV, de par l'imbrication qu'il s'oblige à avoir avec les différentes couches réseaux et de l'OS pour traquer la signature virale, ralenti fortement les I/O.
Des préconisations que je lis des DBA, l'AV est l'ennemi du SGBD. Bien sûr je ne cause pas de la petite base avec quelques utilisateurs. Même avec des perfs dégradées, cela peut être transparent pour les users.
Je cause des SGBD avec de vrais besoins de perfs.
Aussi, vu les problématiques apportées par l'AV et son rôle quasi inutile sur mon serveur qui rassemble tous les éléments pour ne pas permettre l'infection, dois-je quand même installer un AV ?
Si vous dîtes "non", peut-être est-ce là une petite fissure dans la sacro sainte croyance que l'AV est dogmatiquement sacré :D

Reply

Marsh Posté le 03-04-2013 à 20:38:15   

Reply

Marsh Posté le 03-04-2013 à 20:59:27    

bah je crois que tout est résumé.  
Si TSE : antivirus.
Si SGBD : pas d'antivirus.
Si serveur de fichiers : pas d'antivirus.
--> Ca va donc dépendre de quels services "tournent" sur le serveur et le nombre d'intervenants sur celui-ci.
 
Sur les 2 derniers, ils sont configurés correctement avec les droits mini (même pour l'admin).
Et de façon régulière,connexion en admin avec tous les droits pour faire un check up de ceux-ci.
 
Parefeu obligatoire quand même mais perso, comme les antivirus ça me gave, j'installes pas partout.
 

Message cité 2 fois
Message édité par akizan le 03-04-2013 à 21:00:40
Reply

Marsh Posté le 04-04-2013 à 12:32:21    

Houla j'ai trop plombé le 1er post. Du coup un seul retour sur un sujet pourtant porteur :D
 
akizan ->
Pas d'AV sur un SGBD, on est en phase. Mais sur un serveur de fichiers ca se discute. Certes un serveur de fichiers à jour risque peu par ce seul service d'être lui-même infecté mais il peut permettre la propagation de virus en les hébergeant (copie du virus lui même sur le partage ou par action d'un user).
Et puis un antivirus correct et configuré n'a que peu d'impact sur les performances d'un serveur de fichiers.
Du coup, perso, pour ce type de service, je place un AV.

Reply

Marsh Posté le 04-04-2013 à 13:31:41    

Faut aussi laisser le temps aux gens de lire et trouver un moment pour y répondre.

ShonGail a écrit :

Mais si l'admin n'est pas fou, qu'il n'installe sur le serveur que des services systèmes ou des applis provenant de packages vérifiés, et que les utilisateurs n'ont pas accès au serveur, alors le virus ne peut pas se propager par ingénierie sociale.
Dans ces cas là, l'antivirus ne parait pas indispensable.


Un serveur sans connexion cliente ? Parce que j'ai l'impression que pour toi, un serveur ne peut être accédé que par des utilisateurs ... Donne moi le nom d'un serveur qui n'est accédé par aucun utilisateurs, ni aucune application ? Certainement pas une serveur Database ... Les utilisateurs n'ont pas accès au serveur certes (et encore il te faudra activer entre eux un équipement ou applicatif filtrant) du moins pas tout le temps, car les utilisateurs passent par un serveur applicatif pour se connecter (en général hein, pas tous le temps).

 
ShonGail a écrit :

Peut-on écarter le danger de la faille concernant les serveurs ?
On touche là le fond du sujet.
Pour qu'un virus s'exécute sur un serveur par ce biais, il faut :
- un service avec une faille. Il n'y a pas obligatoirement de failles sur un service ou alors pas toujours découvertes et/ou exploitées.


On découvre des failles tous les jours. Tu mets jamais à jour tes applicatifs/Serveur ?

 
ShonGail a écrit :

- que le service s'exécute. Une faille sur IIS alors que mon serveur fait tourner DNS ne va pas permettre au virus de s'implanter.
- que le service soit à l'écoute. Une faille IIS ne va pas permettre à un virus de s’exécuter sur mon serveur qui a le rôle éponyme si mes ports 80/443 ne sont pas ouverts.


Certes

 
ShonGail a écrit :


- que la faille en question ne soit pas corrigée.


Le problème d'une faille est qu'elle n'est corrigé qu'après avoir été repérée dans bien des cas ... J'ai toujours préféré prévenir que guérir.

 
ShonGail a écrit :

Donc un virus peut s'exécuter si j'ai un service avec faille non corrigée qui tourne, qui écoute et qui n'est pas bloqué à l'écoute (pare-feu).
Ca peut sembler rébarbatif à certains mais c'est très très loin d'être entendu par quelques interlocuteurs que j'ai croisé.


Alors là elle est bien bonne ... Tu parles du post où tu conseillais à un type d'ouvrir tout sur son AD depuis une zone qu'il voulait isoler un minimum ? Tu manques quand même pas de toupet ...

 
ShonGail a écrit :

Mais avant l'AV, d'autres contre mesures pourraient prévenir le problème :
- ne pas faire tourner et placer à l'écoute des services inutiles.
- ne pas permettre l'écoute de services sur Internet si cela n'est pas utile.
- veiller à mettre à jour son OS et ses applicatifs. Sur ce point le cas pratique de Conficker est instructif. Il a plongé dans le noir des tas de SI à partir de novembre 2008 et sur une partie de 2009. La faille était corrigée par Microsoft ... un mois avant en octobre 2008 !


C'est bien beau la prévention ... J'adhère ! Mais il faut aussi prévoir le cas où ces règles ne seront pas respectées ... On est pas à la maison, où on est seul sur un pc ...

 
ShonGail a écrit :

Si je me retrouve donc avec un serveur qui fait tourner un unique service, que je maintiens à jour, seul en écoute sur le réseau local, et des postes clients eux protégés par AV, ai-je besoin d'un antivirus sur le serveur ?
Ici, les risques d'infection sont très réduits, peut-être quasi inexistants.


"Réduits", "quasi inexistants" si cela te rassure, c'est le principal.

 
ShonGail a écrit :

Il peut gréver très sensiblement les performances d'un service, même configuré pour s'adapter à ce service.
J'ai rencontré plusieurs fois ce problème sur des SGBD (Oracle - SQL Server) par exemple, où même désactivé, l'AV, de par l'imbrication qu'il s'oblige à avoir avec les différentes couches réseaux et de l'OS pour traquer la signature virale, ralenti fortement les I/O.


Il n'éxiste pas qu'un antivirus au monde. Je suis d'accord pour dire qu'un anti-virus, dans un contexte particulier peut être significatif de beaucoup de problème de perf. Mais dans la configuration que tu indiques (MAJ faites, AV sur clients, FW bien configuré sur le serveur) tu n'es pas obligé d'analyser le trafic réseau si c'est lui qui pose soucis, tu peux faire simplement du scan de services, files etc ... Et si avec ca ton serveur est en panne de perf ... C'est que celui-ci commence à devenir limite. Car oui, à partir d'un moment, si tu n'arrives pas à configurer ton AV de mannière non intrusive ... Faut trouver une solution, mais le désactiver n'est pour moi qu'une solution temporaire.

 

EDIT : Je précise que je ne suis absolument pas de la partie Secu (comme dans l'autre post auquel tu fais référence), Comme akizan la sécu ca me plait pas ... Mais je respecte des "best practices", je l'avoue un peu à l'aveugle :) Mais en même temps ces derniers me semble plutôt sécurisant.

Message cité 1 fois
Message édité par ChaTTon2 le 04-04-2013 à 13:41:40

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 04-04-2013 à 13:38:55    

akizan a écrit :

Parefeu obligatoire quand même mais perso, comme les antivirus ça me gave, j'installes pas partout.


Au temps l'explication de l'auteur est pleine d'argument parfois intéressant. Au temps celle là :)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 04-04-2013 à 13:44:22    

gaver = lenteurs :)
Systématiquement et quelque soit les antivirus testés (avec différentes configurations et optimisations), je trouve que ça plombe les performances de serveurs (et/ou de PC).
 
Pour revenir à Shongail, c'est vrai que pas d'antivirus sur un serveur de fichiers, c'est quand même plus risqué (à mon avis), qu'un serveur BDD.

Reply

Marsh Posté le 04-04-2013 à 14:18:27    

ChaTTon2 a écrit :

Faut aussi laisser le temps aux gens de lire et trouver un moment pour y répondre.


 
Du calme, je n'ai pas appelé ChaTTon2 expressément à répondre. Fais le tranquillement à ton rythme, pas de souci.
 

ChaTTon2 a écrit :


Un serveur sans connexion cliente ? Parce que j'ai l'impression que pour toi, un serveur ne peut être accédé que par des utilisateurs ... Donne moi le nom d'un serveur qui n'est accédé par aucun utilisateurs, ni aucune application ? Certainement pas une serveur Database ... Les utilisateurs n'ont pas accès au serveur certes (et encore il te faudra activer entre eux un équipement ou applicatif filtrant) du moins pas tout le temps, car les utilisateurs passent par un serveur applicatif pour se connecter (en général hein, pas tous le temps).


 
Tu réponds à coté de la plaque. Je cause dans ce paragraphe de duplication par ingénierie sociale. Dans le cas de bcp de serveurs, ce n'est pas possible puisque le maillon faible, l'utilisateur berné par le virus qui oublie de vérifier ce qu'il fait, n'a pas accès à l'administration des serveurs.
Le coup des users qui accèdent aux serveurs via des services à l'écoute, c'est l'objet des paragraphes suivants.
 

ChaTTon2 a écrit :


On découvre des failles tous les jours. Tu mets jamais à jour tes applicatifs/Serveur ?


 
Ben si, c'est pour ça que j'invite justement à le faire plutôt que s'imaginer que c'est le job de l'AV.
 


 
Honoré que tu acquiesces.
 

ChaTTon2 a écrit :


Le problème d'une faille est qu'elle n'est corrigé qu'après avoir été repérée dans bien des cas ... J'ai toujours préféré prévenir que guérir.


 
Ben non c'est faux. Et les plus importants cas prouvent le contraire. J'ai causé de Conficker mais je pourrai aussi mentionner Blaster qui a fait de gros dégât à partir d’Août 2003 sur une faille corrigé en ... juillet 2003.
Et ce n'est pas parce que tu as un AV que tu es mieux loti. Il faut que lui aussi soit à jour et ait dans ses signatures de quoi débusquer le virus.
 

ChaTTon2 a écrit :


Alors là elle est bien bonne ... Tu parles du post où tu conseillais à un type d'ouvrir tout sur son AD depuis une zone qu'il voulait isoler un minimum ? Tu manques quand même pas de toupet ...


 
Et il n'ouvre pas son AD à ses propres users, il se contente de ne pas y arriver en ouvrant des tas de ports parmi les plus exposés. Du beau travail de rigolo.
 

ChaTTon2 a écrit :


C'est bien beau la prévention ... J'adhère ! Mais il faut aussi prévoir le cas où ces règles ne seront pas respectées ... On est pas à la maison, où on est seul sur un pc ...  


 
Et l'AV ce n'est pas de la prévention ? Si tu n'es pas apte à configurer tes serveurs et MAJ les OS/applis, laisse moi douter de efficacité de l'AV que tu vas mettre en place.
 

ChaTTon2 a écrit :


"Réduits", "quasi inexistants" si cela te rassure, c'est le principal.


 
C'est une conclusion après réflexion.
C'est un peu plus abouti que "je mets un AV et ca y est j'ai fait mon boulot, je vais boire un café".
 

ChaTTon2 a écrit :


Il n'éxiste pas qu'un antivirus au monde. Je suis d'accord pour dire qu'un anti-virus, dans un contexte particulier peut être significatif de beaucoup de problème de perf. Mais dans la configuration que tu indiques (MAJ faites, AV sur clients, FW bien configuré sur le serveur) tu n'es pas obligé d'analyser le trafic réseau si c'est lui qui pose soucis, tu peux faire simplement du scan de services, files etc ... Et si avec ca ton serveur est en panne de perf ... C'est que celui-ci commence à devenir limite. Car oui, à partir d'un moment, si tu n'arrives pas à configurer ton AV de mannière non intrusive ... Faut trouver une solution, mais le désactiver n'est pour moi qu'une solution temporaire.
 
EDIT : Je précise que je ne suis absolument pas de la partie Secu (comme dans l'autre post auquel tu fais référence), Comme akizan la sécu ca me plait pas ... Mais je respecte des "best practices", je l'avoue un peu à l'aveugle :) Mais en même temps ces derniers me semble plutôt sécurisant.


 
Et pourtant, dans le cas des SGBD par exemple, l'AV est contre productif. Et de loin.

Reply

Marsh Posté le 04-04-2013 à 14:27:42    

akizan a écrit :


Pour revenir à Shongail, c'est vrai que pas d'antivirus sur un serveur de fichiers, c'est quand même plus risqué (à mon avis), qu'un serveur BDD.


 
 
Attention, ce n'est pas ce que j'ai dit.
J'ai d'ailleurs répondu et précisé mon point de vue à ce sujet : je mets des AV sur les serveurs de fichiers.

Reply

Marsh Posté le 04-04-2013 à 15:47:03    

Merci de l'initiative,  :jap:


---------------
ça c'est de la bullet
Reply

Marsh Posté le 04-04-2013 à 16:47:41    

Pour information :
 
Antivirus sur tout les serveurs même SGBD. Aucun problème de perf si c'est ça qui vous inquiète. Il suffit juste de bien le calibrer si jamais.
 
Aucun parefeu de windows activé pour ma part sur les serveurs et pcs.(C'est la limite entre sécurité et exploitation). Un parefeu en sortie et une GPO qui bride énormément sur les TSE.
 
Pour les risques d'un AV, je ne vois pas de quoi vous avez peur...  
Si jamais c'est des suppressions de fichiers... en principe vous avez une bonne politique de sauvegarde. mais bon...  
 
Je ne dit pas que c'est bien... ce que j'essaye d'expliquer :
C'est oui en théorie il faut installer des AV, des parefeurs des controles de partout... mais en pratique tu vas choisir un compromis.
 
Ensuite la sécurité, il faut la suivre et en général les PMEs TPE n'ont pas les ressources pour faire tout ce boulot et les directeurs comme d'habitude ont du mal à investir dans la sécurité...
 
C'est un travail à long terme.
 
Pour finir, la question que se pose l'auteur est aussi "Est ce que si j'ai un AV sur le client, faut il installer un AV sur le serveur?" J'ai envie de répondre à plus ou moins 50Euros la licences, l'entreprise doit pouvoir se permettre de s'acheter ses licences.
 
ShonGail >> quand je te lis, tu dis avoir eu de mauvaises expériences de perf... c'est quel AV ? quel OS serveur/client ? combien de ram car moi je n'ai pas du tout de soucis.

Message cité 2 fois
Message édité par PsYKrO_Fred le 04-04-2013 à 17:03:07
Reply

Marsh Posté le 04-04-2013 à 16:47:41   

Reply

Marsh Posté le 04-04-2013 à 23:45:45    

VU: Un poste infecté passe les dossiers d'un partage en cachés, places des exe avec l'icône des dossiers normaux et le nom des anciens fichiers... donc pas d'AV sur un serveur de fichiers c'est juste pas possible :o
 
Les AV sur serveur doivent être configurés finement en cas de réduction sensible des perfs
Je fait quasiment une stratégie par serveur

Reply

Marsh Posté le 05-04-2013 à 08:28:56    

PsYKrO_Fred a écrit :


 
Pour finir, la question que se pose l'auteur est aussi "Est ce que si j'ai un AV sur le client, faut il installer un AV sur le serveur?" J'ai envie de répondre à plus ou moins 50Euros la licences, l'entreprise doit pouvoir se permettre de s'acheter ses licences.
 
ShonGail >> quand je te lis, tu dis avoir eu de mauvaises expériences de perf... c'est quel AV ? quel OS serveur/client ? combien de ram car moi je n'ai pas du tout de soucis.


 
Je ne pense pas avoir posé la question que tu indiques.
J'essaye de récapituler de manière exhaustive les risques viraux que coure un serveur, suivant ses accès ouverts, les types de services qui tournent, son degré d'ouverture réseau, etc.
A partir de là se pose l'intérêt ou non d'un AV.
 
En dehors du fait que c'est pas cher à mettre (c'est d'ailleurs la raison pour laquelle tout le monde se reporte dessus, c'est facile et c'est pas chiant), quel est son réel apport technique ?
 
Sur un serveur où l'accès à l'OS est du seul ressort de l'admin sérieux, où les services à l'écoute sont contrôlés et mis à jour, où l'accès est restreint par un parefeu, qu'apporte l'AV ?
Rien.
 
Imaginons qu'un service soit compromis par un exploit 0 day, l'AV ne sera pas apte à mieux protéger. Ni son moteur, ni sa base ne seront plus à jour que la version du service faillible.
C'est un peu le point que je peine à faire comprendre : un AV n'est pas magique. Sa seule installation ne prémunit pas des virus et son action n'est en rien plus performante que d'autres sécurités qui doivent être mises en place.  
 
Concernant les SGBD, les AV sont multiples (Kaspersky, ESET, Trend, etc.) car il s'agit de cas clients. Les OS sont pas contre tjs du Windows. Les BDD de l'Oracle ou du SQL Server. La RAM est rarement un problème.
Mais en cela, je ne fais que confirmer les avis de DBA, pas difficiles à trouver sur Internet, qui se méfient comme de la peste des AV sur SGBD.

Reply

Marsh Posté le 05-04-2013 à 08:30:48    

Lone Morgen a écrit :

VU: Un poste infecté passe les dossiers d'un partage en cachés, places des exe avec l'icône des dossiers normaux et le nom des anciens fichiers... donc pas d'AV sur un serveur de fichiers c'est juste pas possible :o

 

Les AV sur serveur doivent être configurés finement en cas de réduction sensible des perfs
Je fait quasiment une stratégie par serveur

 

C'est une belle histoire mais j'espère que ce n'est pas en réponse à mon post :)
Car sinon, je vais le réécrire en police 125, gras et souligné : je mets des AV sur les serveurs de fichiers !
Que ces serveurs puissent servir de vecteurs de propagation est une évidence.
On passe à autre chose du coup ?

Message cité 1 fois
Message édité par ShonGail le 05-04-2013 à 08:32:11
Reply

Marsh Posté le 05-04-2013 à 11:54:49    

On a pas parlé des tablettes :D


---------------
ça c'est de la bullet
Reply

Marsh Posté le 05-04-2013 à 14:12:33    

nails a écrit :

On a pas parlé des tablettes :D


 
Ben le topic ne porte que sur les serveurs mais on peut en faire un sur les OS clients :D
PC, tablettes, Smartphones, etc.
 
Mais bon là, l'utilité de l'AV est moins discutable.
Bien que sur mon propre PC par exemple, l'AV n'a jusqu'à maintenant eu aucune utilité autre que psychologique. Je ne me rappelle pas la dernière fois qu'il est entré en action.
Par contre, sur des PC d'autre users, heureusement qu'il est là. Certains sont incapables de passer une semaine sans choper une merde :/

Reply

Marsh Posté le 05-04-2013 à 21:48:08    

ShonGail a écrit :


 
C'est une belle histoire mais j'espère que ce n'est pas en réponse à mon post :)
Car sinon, je vais le réécrire en police 125, gras et souligné : je mets des AV sur les serveurs de fichiers !
Que ces serveurs puissent servir de vecteurs de propagation est une évidence.
On passe à autre chose du coup ?


 
En effet, c'est pour le second message de ce topic, qui devrait être supprimé.

Reply

Marsh Posté le 08-04-2013 à 08:05:38    

Lone Morgen a écrit :

 

En effet, c'est pour le second message de ce topic, qui devrait être supprimé.

 

:jap:

 

Mais je ne suis pas pour supprimer le message.
Le but de ce topic est justement de ne pas tomber dans la facilité du "j'ai mis un AV donc je ne me pose plus aucune question, j'ai terminé mon boulot (en gros, je suis couvert, la seule évocation de l'AV suffit à reporter toute responsabilité sur lui en cas de problème)".

 

Du coup, la question de mettre un AV ou non sur un serveur de fichier se pose.
Perso j'en mets car :
- il peut être stockage et vecteur de propagation pour des fichiers vérolés.
- il demande peu de ressources systèmes et l'AV de grèvera pas de manière notable ses performances.

 

Mais dans le cas de partages en lectures seules par exemple, il ne reste plus que le second argument.
Et si le serveur de fichiers est très sollicité (très nombreux accès concurrents à de petits fichiers), ne pas mettre d'AV peut s'envisager (mais on respecte une saine administration de son serveur).


Message édité par ShonGail le 08-04-2013 à 08:06:38
Reply

Marsh Posté le 08-04-2013 à 08:57:19    

PsYKrO_Fred a écrit :

Pour information :
 
 
Pour finir, la question que se pose l'auteur est aussi "Est ce que si j'ai un AV sur le client, faut il installer un AV sur le serveur?" J'ai envie de répondre à plus ou moins 50Euros la licences, l'entreprise doit pouvoir se permettre de s'acheter ses licences.


 

Citation :

Je ne pense pas avoir posé la question que tu indiques.


 

Citation :

Si je me retrouve donc avec un serveur qui fait tourner un unique service, que je maintiens à jour, seul en écoute sur le réseau local, et des postes clients eux protégés par AV, ai-je besoin d'un antivirus sur le serveur ?  


-----------------------
 
 

Citation :

Ni son moteur, ni sa base ne seront plus à jour que la version du service faillible.
C'est un peu le point que je peine à faire comprendre : un AV n'est pas magique


 
Tu peines à faire comprendre à qui ? car les admins on le sait tous... si c'est la direction c'est tout un autre problème.
 
 
Ton topic est humble.  
 

Citation :

Le but de ce topic est justement de ne pas tomber dans la facilité du "j'ai mis un AV donc je ne me pose plus aucune question, j'ai terminé mon boulot.

 
 
J'ai l'impression que tu as une rancœur car la question ne se pose pas que sur un AV et tu le sais. Finalement, si ta question est :  
 

Citation :

Du coup, la question de mettre un AV ou non sur un serveur de fichier se pose.


 
Pour moi la réponse est oui.
 
En revanche, d'autres points sont à étudier :  
est ce que mon outils d'analyse et reporting est bien.  
Est ce que j'ai assez de personnel pour gérer la sécurité (souvent non).  
Est ce que la direction veut mettre les moyens ?  
Est ce que le personnel est bien éduquer à la sécurité informatique ? (souvent non)  
Est ce que j'ai les procédures de restauration à jour en cas de sinistre?  
Est ce que j'ai un bon PRA, PCA...  
 
bref tout un tas de questions qu'on se pose tous les admins. Et souvent nous manquons de temps.

Reply

Marsh Posté le 08-04-2013 à 09:38:06    

akizan a écrit :

bah je crois que tout est résumé.
Si TSE : antivirus. [:yann39] ok, là logique.
Si SGBD : pas d'antivirus. [:yann39] à [:judgedredd:2]  je dirais : tout dépend de la structure. Si en amont (sur les postes traitants les données) tu es sous Windows avec un antivirus, ok. Postes Mac OS X, je dirais à voir. Postes Linux, pas d'antivirus.
Si serveur de fichiers : pas d'antivirus.  [:judgedredd:2]  Ah non, là NON. S'il y a bien 1 endroit où il doit y avoir un antivirus, c'est à ce niveau là et au niveau du serveur de messagerie ! hé c'est par là que transite toutes les données de l'entreprise, c'est un carrefour important qu'il vaut mieux protéger.


ça plombe peut-être les performances si on ajoute un antivirus, mais si ton système n'est pas capable à la fois de tenir le service + l'antivirus, à mon avis y'a un soucis quelque part [:alstyle:5]

nails a écrit :

On a pas parlé des tablettes :D


Quand tu vois la gueule des antivirus dispo pour tablettes et smartphones, là si le SI doit connecter du serveur à ces appareils, antivirus obligatoire sur les serveurs.


Message édité par bardiel le 08-04-2013 à 09:39:48

---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 08-04-2013 à 10:56:08    

Citation :


Tu peines à faire comprendre à qui ? car les admins on le sait tous... si c'est la direction c'est tout un autre problème.

 


Ton topic est humble.

 

A mon image  [:m3e30]

 

Je peine à faire comprendre à tous ceux qui mettent des  [:hide]  :pfff: ou  [:pampers] dès qu'on annonce qu'un serveur peut exister sans AV.
Et je rencontre leurs homologues IRL. Des personnes qui pensent que l'AV est le seul rempart ultime contre les virus ou le piratage, qui ne s'inquiètent pas de savoir comment les serveurs peuvent être compromis, communiquent avec l'extérieur et comment un AV fonctionne; ce en quoi ils s'apercevraient qu'il est tout aussi faillible qu'un autre élément.

 


Citation :

 

J'ai l'impression que tu as une rancœur car la question ne se pose pas que sur un AV et tu le sais. Finalement, si ta question est :

 

"rancoeur" n'est assurément pas le bon terme. "agacement" plutôt.

 
Citation :

Du coup, la question de mettre un AV ou non sur un serveur de fichier se pose.

 


Pour moi la réponse est oui.

 

En revanche, d'autres points sont à étudier :
est ce que mon outils d'analyse et reporting est bien.
Est ce que j'ai assez de personnel pour gérer la sécurité (souvent non).
Est ce que la direction veut mettre les moyens ?
Est ce que le personnel est bien éduquer à la sécurité informatique ? (souvent non)
Est ce que j'ai les procédures de restauration à jour en cas de sinistre?
Est ce que j'ai un bon PRA, PCA...

 

bref tout un tas de questions qu'on se pose tous les admins. Et souvent nous manquons de temps.

 

Et bien si tu réponds "oui" en toute connaissance de cause, y'a pas problem !


Message édité par ShonGail le 08-04-2013 à 10:57:34
Reply

Marsh Posté le 08-04-2013 à 11:55:16    

[quotemsg=109289]
A mon image  [:m3e30]

 

Je peine à faire comprendre à tous ceux qui mettent des  [:hide]  :pfff: ou  [:pampers] dès qu'on annonce qu'un serveur peut exister sans AV.
Et je rencontre leurs homologues IRL. Des personnes qui pensent que l'AV est le seul rempart ultime contre les virus ou le piratage, qui ne s'inquiètent pas de savoir comment les serveurs peuvent être compromis, communiquent avec l'extérieur et comment un AV fonctionne; ce en quoi ils s'apercevraient qu'il est tout aussi faillible qu'un autre élément.
[quote]
Effectivement, se dire qu'on a mis un AV et ne plus rien faire du tout ... C'est un peu facile. Par contre, prévoir de la ressource sur un serveur pour y faire tourner l'applicatif ou le rôle plus une marge pour l'AV ... C'est pas non plus sorcier. Il y a toujours des cas particuliers, j'en conviens, mais quand on peut, c'est bien de le prévoir.

 

L'AV est un élément d'une chaine de sécurité qui commence, et tu le décris précisément, par une propagande sécuritaire auprès des collabs. (enfin pour moi ce qui n'est pas parole d'évangile).

 

Mais quand tu dis que mettre un AV sur un SGBD ne sert à rien et plombes les perfs ... Comprends que c'est là aussi une généralité qui peut faire bondir ! Tout comme, je le reconnais, préconiser un AV dans toutes les situations est aussi un peu audacieux.

 

Le vrai soucis sur les serveurs de bases de données, c'est que vue la démultiplication de ceux-ci dans le monde pro (on en voit de plus en plus pour chaque appli), le principal problème de perfs vient de la non configuration de ce moteur. NON ! Installer un serveur de base de donnée ce n'est  pas juste suivant suivant fin.

 

Perso, si mon AV venait à pourrir les perfs d'un de nos serveur de Base de donnée, je commencerais pas essayer d'optimiser un peu le SGBD et ensuite l'AV avant de désinstaller celui-ci ... En tous les cas, je n'ai jamais eu besoin d'en arriver là.

Message cité 2 fois
Message édité par ChaTTon2 le 08-04-2013 à 11:55:43

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 08-04-2013 à 13:12:14    

ChaTTon2 a écrit :


Effectivement, se dire qu'on a mis un AV et ne plus rien faire du tout ... C'est un peu facile. Par contre, prévoir de la ressource sur un serveur pour y faire tourner l'applicatif ou le rôle plus une marge pour l'AV ... C'est pas non plus sorcier. Il y a toujours des cas particuliers, j'en conviens, mais quand on peut, c'est bien de le prévoir.
 
L'AV est un élément d'une chaine de sécurité qui commence, et tu le décris précisément, par une propagande sécuritaire auprès des collabs. (enfin pour moi ce qui n'est pas parole d'évangile).
 
Mais quand tu dis que mettre un AV sur un SGBD ne sert à rien et plombes les perfs ... Comprends que c'est là aussi une généralité qui peut faire bondir ! Tout comme, je le reconnais, préconiser un AV dans toutes les situations est aussi un peu audacieux.
 
Le vrai soucis sur les serveurs de bases de données, c'est que vue la démultiplication de ceux-ci dans le monde pro (on en voit de plus en plus pour chaque appli), le principal problème de perfs vient de la non configuration de ce moteur. NON ! Installer un serveur de base de donnée ce n'est  pas juste suivant suivant fin.
 
Perso, si mon AV venait à pourrir les perfs d'un de nos serveur de Base de donnée, je commencerais pas essayer d'optimiser un peu le SGBD et ensuite l'AV avant de désinstaller celui-ci ... En tous les cas, je n'ai jamais eu besoin d'en arriver là.


 
+1

Reply

Marsh Posté le 08-04-2013 à 15:56:28    

ChaTTon2 a écrit :

Par contre, prévoir de la ressource sur un serveur pour y faire tourner l'applicatif ou le rôle plus une marge pour l'AV ... C'est pas non plus sorcier. Il y a toujours des cas particuliers, j'en conviens, mais quand on peut veut, c'est bien de le prévoir.


Entre le "peut" et le "veut", c'est le pognon qui choisit dans pas mal de cas [:spamatounet]  
Ou un DSI un peu borné sur les bords "non pas d'antivirus sur un SGBD !"

ChaTTon2 a écrit :

NON ! Installer un serveur de base de donnée ce n'est  pas juste suivant suivant fin.


Il y a aussi "veuillez redémarrer l'ordinateur pour lancer le serveur."
Ah ouais, logique [:transparency]  
 
De la même manière et pour l'anecdote, voir sur un serveur de fichiers militaire, sur lequel transite des données "confidentiel défense", sous Windows 2008 avec du Norton (bon ok, les p'tits gars de l'OTAN aiment Norton, et suivent les directives US), mis à jour avec des signatures provenant d'un poste relié à internet, vous en penseriez quoi vous ? Dans mon ancien service, on a tous unanimement fait ça comme tête : [:hide]


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 08-04-2013 à 16:04:25    

bardiel a écrit :


Entre le "peut" et le "veut", c'est le pognon qui choisit dans pas mal de cas [:spamatounet]  
Ou un DSI un peu borné sur les bords "non pas d'antivirus sur un SGBD !"


Si mon DSI venait me demander de désinstaller l'av sur un serveur de base de donnée je le ferais ... Comme beaucoup ... Mais perso je vérouillerais FW et referais un check complet des droits d'accès.
 
Après, ici je ne suis pas RSSI ... Donc ca n'arrivera pas :)
 
Pognon ... Mouais ... Quand je vois comment les SQL serveurs installés par certains presta sont paramétré ... Je me dis que bien souvent on a des bêtes de courses plus que sur dimensionné par rapport au besoin (d'où ma phrase sur les cas particulier) ... Mais des DB qui on besoins réellement de plus de X giga de ram, et de bi pro à X cœur ... C'est pas de partout qu'on le trouve !
 
Déjà brider le moteur SQL en thermes de core et de mémoire te permet la majeur partie du temps de dégager de la ressource pour L'AV... Ensuite tu peux un peu tuner ton AV pour qu'il ne scrute pas forcément certains process, fichiers ... Mais ca reste bien moins important que de bien paramétrer son SGBD.
 
Déjà rien que le fait que (hors grosses multinational) peu de petite ou grosses PME ont les moyens de se payer un DBA ... Et c'est un tort, rien que chez nous les DB se comptes par dizaines ...
 
Et non ... On s'est mal compris ! Installer un sql serveur un gosse de 8 ans pourrait le faire ........... Par contre le tuner un minimum ............. C'est une autre paire de manche.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 08-04-2013 à 23:45:10    

le but c'est la protection des données et des systèmes, la notion de rempart est importante, c'est bien la dernière ligne quand un problème survient (ou plutôt généralement que la connerie a été faite) mais c'est aussi aujourd'hui un moyen de prévention avec contrôles à de multiples niveaux, c'est bien une des briques essentielles à la sécurité.
 
En plus de la fonction classique:
Contrôle des applications
Verrouillage de configuration
Contrôle des accès réseaux
Contrôle des périphériques
DLP
Déploiement
Remonté d'informations
 
Pas d'av sur le serveur allez y... mais la menace sur les données n'est pas seulement le virus, c'est aussi par exemple la fuite de données par des utilisateurs habilités.
Sans les nouveaux éléments tout un ensemble de comportements risqués est possible. Et il serait bien difficile de les appréhender complètement avec seulement de la configuration système.

Reply

Marsh Posté le 09-04-2013 à 08:14:44    

Lone Morgen a écrit :

Pas d'av sur le serveur allez y... mais la menace sur les données n'est pas seulement le virus, c'est aussi par exemple la fuite de données par des utilisateurs habilités.
Sans les nouveaux éléments tout un ensemble de comportements risqués est possible. Et il serait bien difficile de les appréhender complètement avec seulement de la configuration système.


L'antivirus peut au moins servir à bloquer les corruptions des données dues à des comptes d'utilisateurs autorisés justement [:spamatounet]  
Je n'en ai pas encore croisé, mais qui ne dit qu'il n'existera pas d'ici quelques mois à quelques années des virus visant les SGBD des entreprises en utilisant les droits accordés à l'utilisateur ?
 
Comme le PRA, les sauvegardes quotidiennes et la gestion des droits utilisateurs, l'antivirus s'inscrit dans les démarches du RSSI de l'entreprise pour fiabiliser les données.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 09-04-2013 à 08:43:46    

"Comme le PRA, les sauvegardes quotidiennes et la gestion des droits utilisateurs, l'antivirus s'inscrit dans les démarches du RSSI de l'entreprise pour fiabiliser les données."
 
+1 sans vouloir offenser l'auteur de ce topic mais je trouve que ce n'est pas la bonne question à se poser si oui ou non l'AV est indispensable.
 

Reply

Marsh Posté le 09-04-2013 à 11:14:41    

bardiel a écrit :


L'antivirus peut au moins servir à bloquer les corruptions des données dues à des comptes d'utilisateurs autorisés justement [:spamatounet]  
Je n'en ai pas encore croisé, mais qui ne dit qu'il n'existera pas d'ici quelques mois à quelques années des virus visant les SGBD des entreprises en utilisant les droits accordés à l'utilisateur ?
 
Comme le PRA, les sauvegardes quotidiennes et la gestion des droits utilisateurs, l'antivirus s'inscrit dans les démarches du RSSI de l'entreprise pour fiabiliser les données.


 
Dans le cadre d'une attaque ciblée ça doit exister ou revenir au même, d’où l'utilité du DLP donc généralement d'un av avec cette brique.
Effectivement le seul sujet de l'antivirus est trop limité pour le cadre pro, la sécurité est un sujet global.

Reply

Marsh Posté le 09-04-2013 à 18:35:57    

PsYKrO_Fred a écrit :

+1 sans vouloir offenser l'auteur de ce topic mais je trouve que ce n'est pas la bonne question à se poser si oui ou non l'AV est indispensable.


Surtout que tout dépend de la taille de l'entreprise et du comment c'est géré au niveau informatique.
Je ne parle pas là de la présence d'un DBA ou non pour gérer de nombreuses bases, de savoir si les données sont externalisés (vive le cla-oude !)
Sans indiquer un "cas pratique", on peut très bien être [:fadiez:1] et décider d'avoir des antivirus partout + un réseau non relié physiquement à l'extérieur (jusqu'au niveau alimentation électrique !) + bloquer les périphériques de masse USB + exiger de déposer téléphone et autres matos électroniques persos à l'entrée de la boîte + utiliser des portes à empreintes biométriques (cas typique : entreprise de la Défense)
Ou au contraire faire soft, n'avoir de l'antivirus que là où c'est nécessaire (voire pas d'antivirus, "pas la peine sous une bécane sous Linux :lol: " [:transparency] ), permettre le BYOD et pouvoir se balader pépère un peu partout (qui a parlé des universités ? :whistle: )


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 10-04-2013 à 11:40:57    

Je relance un peu concernant un point bien spécifique : la gestion des ressources connectables (CDROM, USB) sur les serveurs, vous faites comment pour maitriser ces risques ?
Vous avez tous une salle informatique dédiée et sécurisée physiquement ?

Reply

Marsh Posté le 10-04-2013 à 16:12:09    

Dédié/Sécurisée physiquement.
Après je fais confiance aux gens autorisés à rentrer.

Reply

Marsh Posté le 10-04-2013 à 17:14:47    

A mon ancien taf j'ai vu :
- salle dédiée climatisée avec faux plafond, sol technique et avec sa propre énergie au sein du service informatique (le top évidemment)
- salle dédiée climatisée sans faux plafond et sans sol technique, avec sa propre énergie, au sein du service informatique
- salle dédiée climatisée sans faux plafond et sans sol technique, avec sa propre énergie, dans une pièce nommée "placard technique"
Et enfin directement dans le service informatique, sans faux plafond, sans sol technique, avec la même baie d'énergie que le service informatique.
 
Après là aussi, tout dépend de l'infra, du pognon et de la gestion informatique... tu n'auras pas 2 boîtes pareils.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 10-04-2013 à 17:30:59    

Ha oui quand même :) du coup pas besoin de se préoccuper du paramétrage de l'antivirus Serveur pour les clés USB ^^

Reply

Marsh Posté le 10-04-2013 à 17:49:33    

Ah mais justement, entre le cas "salle dédiée au sein du service informatique" et le cas "je te fous le serveur bien visible à l'entrée", c'est là que tu vois pour les clés USB...


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 10-04-2013 à 19:35:08    

Désolé les gars, je ne peux pas répondre dans l'immédiat, je suis en train de gérer un AV qui merde sur les serveurs :D
http://support.kaspersky.com/fr/9751
http://support.kaspersky.com/fr/9750

Reply

Marsh Posté le 10-04-2013 à 20:16:37    

ShonGail a écrit :

Désolé les gars, je ne peux pas répondre dans l'immédiat, je suis en train de gérer un AV qui merde sur les serveurs :D
http://support.kaspersky.com/fr/9751
http://support.kaspersky.com/fr/9750


Et ça t'étonnes ? [:yiipaa:4]


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 10-04-2013 à 22:20:13    

bardiel a écrit :


Et ça t'étonnes ? [:yiipaa:4]


 
Bah c'est quand même bien réputé Kaspersky. Leur interface Admin Kit est franchement bien faite je trouve.
Après les problèmes techniques c'est autre chose...

Reply

Marsh Posté le 10-04-2013 à 22:35:48    

Deux en même temps, bon courage.
Y a peut de temps c'était sophos qui s'auto-détectait.

Reply

Marsh Posté le 11-04-2013 à 09:04:27    

La meilleur interface est selon moi McAfee avec le EPolicy Orchestrator.
ShongMail... peut être l'étude de changer d'AV est envisageable?
 
Pour ceux à qui ca interesse et qui connaisse pas, voici le Gartner des solutions AV de 2010 :  
 
https://scm.symantec.com/resources/ [...] 5B1%5D.pdf
 
 
 

Reply

Marsh Posté le 11-04-2013 à 10:28:42    

akizan a écrit :

Bah c'est quand même bien réputé Kaspersky. Leur interface Admin Kit est franchement bien faite je trouve.
Après les problèmes techniques c'est autre chose...


Oui, niveau interface et gestion centralisé, Kaspersky c'est bien foutu. Mais payes derrière la conso réseau, CPU et RAM...
D'un certain côté, ça a même poussé au remplacement partiel du parc utilisateurs sous Windows vers du Linux, tellement cela devenait ingérable [:spamatounet]  
 
Toujours à mon ancien taf, "ils" (la DSI à Paris) avaient eu l'idée de passer sur Kaspersky, 3 ans après avoir signé le contrat et au moment où je me barrais, la version Linux promise pour les serveurs de fichiers on l'attendait toujours. En parallèle les serveurs de fichiers sous Windows (2003 mais suffisant pour l'utilisation), eux aussi attendaient leur version de Kaspersky, et étaient du coup avec un antivirus sans mise à jour depuis 2 à 3 ans !
Et là avoir des machines sous Windows et Linux avec du serveurs de fichiers sous Linux, c'est la situation typique où il faudrait justement un antivirus efficace au niveau du serveur de fichiers.
Quand j'y repense, si un jour on a du gros scandale informatique qui sort à ce niveau avec des fichiers confidentiel défense qui circule sur internet, j'éclaterais de rire [:s@ms:2]


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed