Domaine IT Heure-DIT L'heure-DIT Une heure pour les nouveaux responsables informatiques d'unité, sur un thème précis Le 16 juin: la sécurité informatique, ensuite: le réseau, les annuaires, le stockage, ... Tout sur les futures heures-DIT: dit.epfl.ch/heure- DIT Envoyez vos suggestions à webmaster.dit@epfl.ch 16 juin 2011 1 1
Sécurité informatique Domaine IT Heure-DIT - Sécurité Sécurité informatique Patrick Saladino Martin Ouwehand http://secure-it.epfl.ch securite@epfl.ch 16 juin 2011 2 2
Plan Heure-DIT - Sécurité Introduction Authentification En pratique Domaine IT Heure-DIT - Sécurité Plan Introduction Authentification En pratique Diode SSH Serveurs Web Quarantaine Votre contribution Mises à jour Anti-virus Protection des ressources réseau 16 juin 2011 3 3
Sécurité informatique Domaine IT Heure-DIT - Sécurité Sécurité informatique Contrôle d'accès aux ressources informatiques Politique de sécurité (http://dit.epfl.ch/directives) Équilibre entre: sécurité, menaces, confort, coût La principale menace que l'EPFL affronte est le malware, à la recherche systématique mais aveugle d'ordinateurs à infecter 16 juin 2011 4 4
Domaine IT Heure-DIT - Sécurité Gaspar, Tequila, Accred http://gaspar.epfl.ch: identification/authentification http://accred.epfl.ch: lien personne-unité et gestion des droits (accès VPN et Wi-Fi, AD, Gaspar, réseau, etc.) Rôles = ensemble de droits Vérifiez que vous avez le rôle respinfo pour les unités dont vous gérez le matériel informatique ! Tequila: module de contrôle d'accès Web basé sur Gaspar et Accred Cours DIT Accred (http://dit.epfl.ch/cours) 16 juin 2011 5 5
La sécurité informatique en pratique Domaine IT Heure-DIT - Sécurité La sécurité informatique en pratique Anti-virus Mise à jour des systèmes Gestion de la continuité: sauvegardes (http://backup.epfl.ch, http://mynas.epfl.ch), réinstallation des systèmes Serveurs: Uniquement les services réseaux nécessaires Si possible, contrôle d'accès réseau 16 juin 2011 6 6
Domaine IT Heure-DIT - Sécurité Diode par défaut les ordinateurs de l'EPFL ne sont pas accessibles de l'extérieur On peut demander l'ouverture de n'importe quelle combinaison des ports 22 (SSH), 80 et 443 (Web) ou un accès complètement ouvert: http://dit.epfl.ch/diode http://network.epfl.ch/cgi-bin/tequila/diode.pl Audit de sécurité des machines ouvertes 16 juin 2011 7 7
Domaine IT Heure-DIT - Sécurité SSH Il y a en permanence des scans cherchant des comptes SSH avec un mot de passe faible Vous pouvez: Vivre avec et assurer un bon niveau des mots de passe (pam_cracklib) Mettre en place un contrôle d'accès réseau (p.ex. “sshd: .ch” dans /etc/hosts.allow) Passer par VPN ou par tremplin.epfl.ch (cf. http://tremplin.epfl.ch/ssh.html) 16 juin 2011 8 8
Serveurs Web Ils sont par principe très exposés Domaine IT Heure-DIT - Sécurité Serveurs Web Ils sont par principe très exposés Possibilité de gestion par le KIS/DIT (Jahia), contact webmaster@epfl.ch Gestion locale si c'est vraiment nécessaire Attention ! Les logiciels Web ne sont pas inclus dans les mises à jour automatiques ! (=> mailing- list) Développements locaux: Cours DIT “Sécurité des applications Web” (http://dit.epfl.ch/cours) 16 juin 2011 9 9
Domaine IT Heure-DIT - Sécurité Quarantaine Les machines infectées qui posent problème (scan, spam) sont isolées dans un réseau de quarantaine Toute transaction Web est redirigée vers une page d'information Possibilités de désinfection, puis sortie de quarantaine 16 juin 2011 10 10
Votre contribution sur le terrain Domaine IT Heure-DIT - Sécurité Votre contribution sur le terrain Outre l'administration des ordinateurs... ... la formation des utilisateurs https://secure-it.epfl.ch/sensi Phishing: https://secure-it.epfl.ch/blog Anti-virus sur les machines personnelles Déontologie, confidentialité des données 16 juin 2011 11 11
Sécurité Windows Présentation Patrick SALADINO A l’EPFL depuis 2004 Domaine IT Heure-DIT - Sécurité Sécurité Windows Présentation Patrick SALADINO A l’EPFL depuis 2004 Au DIT depuis fin 2007 Pour me joindre : securite@epfl.ch Tél.: 32223 16 juin 2011
Sécurité Windows Agenda Mises à jour Antivirus Domaine IT Domaine IT Heure-DIT - Sécurité Heure-DIT - Sécurité Sécurité Windows Agenda Mises à jour Antivirus Protection des ressources 16 juin 2011 16 juin 2011
Sécurité Windows Mises à jour de sécurité Domaine IT Heure-DIT - Sécurité Sécurité Windows Mises à jour de sécurité Windows Update ou Microsoft Update activé par défaut Installation automatique sur les postes de travail, Notification sur les serveurs, Aucune raison de temporiser leur application. Attention aux applications orientées Web (Flash, PDF, Java & Quicktime) Défaut de mises à jour Première cause d’infection sur les machines Windows (infections dites «drive-by») 16 juin 2011
http://winsec.epfl.ch Sécurité Windows Antivirus Visitez Domaine IT Heure-DIT - Sécurité Sécurité Windows Antivirus Obligatoire sur toutes les machines professionnelles, Installation archi-simplifiée, Aucune gestion nécessaire. Visitez http://winsec.epfl.ch 16 juin 2011
Sécurité Windows Protection des ressources réseau Partage de fichiers Domaine IT Heure-DIT - Sécurité Sécurité Windows Protection des ressources réseau Partage de fichiers Deux mécanismes de protection. Droits d’accès au partage et aux fichiers qu’il contient (NTFS). Attention au groupe local «Users» / «Utilisateurs» qui est modifié une fois que la machine est jointe au domaine. Première cause de dissémination des malwares sur le campus. Remote Desktop Même remarque que ci-dessus concernant le groupe local «Users» 16 juin 2011
Sécurité Informatique Questions / Réponses