Auteur Sujet: Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)  (Lu 3847 fois)

0 Membres et 1 Invité sur ce sujet

ezivoco_163

  • Abonné Orange Fibre
  • *
  • Messages: 823
  • Toulouse (31)
Bonjour à tous,

Je poste ici en accord avec un modo (Nico), mais peut être qu'il sera judicieux de déplacer mon topic ailleurs pour plus de lisibilité ?

Voici ce qu'il m'amène à vous (ça va être un peu long, désolé d'avance  :'( )

Je m'occupe de l'informatique d'une petite TPE (4 personnes), je suis dans les 4 personnes, je ne suis pas le dirigeant, mais simple salarié et l'informatique n'est en aucun cas dans mes fonctions.

Mes compétences toutes relatives font que ça marche plutôt bien depuis environ 15 ans.

Voici comment on fonctionne, et les questions seront à la fin :

- accès internet Livebox buisness 132 (adsl)
- switch administrable HP 24 ports
- 1 NAS synology à jour
- 4 PC sous win 10 64 bits dernières versions et toujours à jour
- 1 imprimante / copieur réseau

Nous n'avons pas de logiciel métier, et travaillons exclusivement avec Microsoft Office et logiciels Adobe.

Usage d'internet bien entendu.

Nous travaillons chacun sur nos pc en ouvrant les fichiers directement sur le NAS, nous ne stockons aucun fichier important ou de travail en local sur le PC, tout reste sur le NAS.

Le NAS a été configuré avec l'aide du nas-forum. Je n'en n'avais jamais eu, mais je ne pense pas avoir fait d'erreur grossière sur les paramètres, configuration.

Les PC ont l'antivirus Windows, et j'exécute ensuite de temps en temps malwarebytes.

Niveau sauvegarde, voici ce que je fais :

- tous les soirs, sauvegarde incrémentale de tous les documents, sur :
* un DD externe branché au NAS, ce DD reste branché au NAS en permanence, à noter que ce DD n'est pas "démonté" quand il achève sa sauvegarde.
* dropbox (c'est bien une sauvegarde réalisée avec hyperback up), ce n'est pas du mirroring que j'utilise également mais que je ne considère pas comme une sauvegarde

- toutes les semaines, je branche un DD externe qui fait une copie complète des données, ce DD est récupéré et ramené chez moi (pour sécuriser en cas de vol / feu au bureau)

- les sauvegardes ne sont pas chiffrées... Il parait que c'est mal, mais j'ai un peu le stress, si un jour il faut restaurer et que ça plante et donc tout perdre  :-\

- rien n'est fait localement sur les PC.

- aucune sauvegarde de la configuration système du NAS, juste le RAID qui est activé pour la continuité de service en cas de panne sur un DD (2 disques en tout).

Au niveau des PC, chaque utilisateur, utilise bien un compte utilisateur pour travailler, le compte administrateur est seulement utilisé par moi pour mettre un drivers si besoin, mettre à jour etc...

*************

Ceci étant dit, je m'inquiète de plus en plus des ransomware.

J'ai alerté mes collègues sur ces risques, et qu'il ne fallait pas cliquer n'importe où, mais bon on n'est pas à l'abri...

J'ai activé seulement sur mon poste pour l'instant, la fonction windows 10 de protection contre les ransomware.

j'ai été un peu étonné, qu'il bloque des logiciels windows, adobe... du coup, j'ai du autoriser manuellement, ces programmes à accéder à la machine, dont certains avec des noms bizarre, mais j'ai vérifié, c'était bien les logiciels en question qui avaient besoin des autorisations... Dernièrement il m'a bloqué cmd.exe ... on a vu mieux comme côté pratique.

Je ne me vois pas l'activer sur les autres pc de mes collègues, sinon plus rien ne va marcher, ou alors ils vont m'appeler toutes les 5 minutes, sauf si vous avez une solution miracle à me proposer pour que ça fonctionne en toute transparence ?

Enfin, le problème des attaques extérieures sur le réseau

La livebox a une IP fixe, mais nous ne nous servons pas d'un accès à distance. Si besoin d'accès aux documents, nous accédons à notre serveur Dropbox qui fait un miroir continuel de ce qu'il y a sur le NAS.

Le parefeu de la livebox est activé, mais ça reste une livebox hein.

Un ami qui s'occupe de l'informatique d'une boite plus grosse que moi, a un presta qui est venu pour leur serveur et leur a dit qu'il était "criminel" de laisser un réseau d'entreprise protégé par une "simple" livebox... et qu'il faut un parefeu matériel (coût 1000 à 2000 balles quand même).

Eux ils en ont pris un, mais je me pose la question si cela est vraiment indispensable.

j'ai lu le guide de l'ANSII https://www.ssi.gouv.fr/guide/recommandations-pour-choisir-des-pare-feux-maitrises-dans-les-zones-exposees-a-internet/

mais j'avoue que c'est quand même un peu complexe pour moi.

S'il faut vraiment un parefeu physique en plus de la livebox, est ce facilement configurable administrable, sachant qu'en réseau, je n'ai vraiment un bon niveau...

Je ne voudrais pas "tout casser" alors que notre installation fonctionne bien.

Quel est votre avis sur tout ça ?

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 094
  • Alpes Maritimes (06)
Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)
« Réponse #1 le: 27 novembre 2019 à 23:34:35 »
Bonsoir

concrètement il y a des services accessibles depuis l'extérieur ?
Parce que je pense que tu as plus de risques de te faire pirater parce que quelqu'un clique sur un lien douteux que parce que quelqu'un "attaque" la livebox.

après, oui, tu peux filtrer toutes les connexions sortantes/entrantes avec un "vrai" parefeu, mais est ce utile pour une TPE ? (ça veut aussi dire autoriser les services "voulus", autoriser les serveurs "voulus" et etc ...)

Typiquement, si un autre employé doit faire un VPN du bureau vers un autre serveur, il faudra autoriser le port et l'IP de destination. idem pour le serveur mail et etc ... (je conseille par contre de laisser les ports 80 et 443 ouverts en sortie par défaut).

Après, quel est le niveau de confidentialité/sécurité est "requis/vendu" ?

ezivoco_163

  • Abonné Orange Fibre
  • *
  • Messages: 823
  • Toulouse (31)
Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)
« Réponse #2 le: 28 novembre 2019 à 08:20:22 »
Bonjour,

Si je n'ai rien foiré, rien n'est censé être accessible depuis l'extérieur. Pas de VPN, rien.

L'accès aux documents s'effectue directement sur Dropbox qui fait un miroir permanent de ce qu'il y a sur le NAS.

Aucun employé, ni la direction n'a donc un besoin d'accéder au NAS depuis l'extérieur.

Les emails sont gérés par Gsuite et donc rien n'est fait localement à ce niveau.

Le niveau de confidentialité doit être important. Nous n'avons aucune données médicale, ni militaire ou autre, mais nous avons des documents importants appartenant aux clients (projets à forte valeur pour eux).


obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)
« Réponse #3 le: 28 novembre 2019 à 12:56:14 »
Si les machines & les softs sont à jour , et si les employés cliquent pas partout, tu peux pas faire grand chose de plus contre les ransomware. Les protections de windows serviront à rien face à une attaque récente et ciblée.

Le fait que tu ais une sauvegarde sur le NAS est pas mal. Perso j'avais dans un contexte similaire (TPE architecture) un NAS visible en partage Windows, mais j'ai changé pour utiliser un logiciel de sauvegarde incrémental via rsync (du coup le NAS de backup n'est PLUS visible sur le réseau local , et le port rsync est non standard) avec authentification.
Donc un éventuel ransomware évoluant latéralement sur le réseau devra avant trouver le mot de passe.

je n'ai pas de sauvegarde externe car la TPE n'a qu'une ADSL , et plusieurs giga de données donc impraticable - c'est un risque qu'on prends , mais j'espère changer ça un jour...

Enfin, pour moi le problème de la livebox c'est son ergonomie, manque de fonctions, instabilité, ... par contre, le firewall reste un firewall : A moins d'avoir configuré toi-même un DMZ ou un port-mapping ya pas de risque - le risque est largement plus grand qu'un employé ouvre un PDF ou un .docx vérolé .


vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)
« Réponse #4 le: 28 novembre 2019 à 13:16:36 »
Tu n'a pas parlé du Wi-Fi : quel sont les périphériques qui se connectent en WiFi ? Aucun ? Les invités de passage ont accès au WiFi ?

Hors l'éventuel faille sur le Wi-Fi, je trouve le niveau de sécurisation correct et au-dessus de ce qui est habituellement pratiqué pour 4 postes.

Il est important d'avoir une sauvegarde sur un second site, ce qui est fait.

Un pare-feu hardware me semble inutile dans ta situation.

Les points d'amélioration :
- Une sauvegarde automatique sur un second site du NAS (différentielle avec plusieurs jour d'historique). Attention, si c'est mal mis en place, cela peut entrainer des risques pour les données / accès par un tiers.
- Une sauvegarde des postes de travail, si il y a des fichiers en local (c'est rare que tout soit sur le réseau)
- Faire un plan pour préparer ce qu'il faut faire en cas de panne du NAS (et que tu n'es pas là)

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)
« Réponse #5 le: 28 novembre 2019 à 13:23:32 »
Un ami qui s'occupe de l'informatique d'une boite plus grosse que moi, a un presta qui est venu pour leur serveur et leur a dit qu'il était "criminel" de laisser un réseau d'entreprise protégé par une "simple" livebox... et qu'il faut un parefeu matériel (coût 1000 à 2000 balles quand même).
Non, c'est complètement con comme raisonnement, une simple livebox suffit largement justement... Les attaques ne viennent pas de dehors, elles rentrent par les utilisateurs...

ezivoco_163

  • Abonné Orange Fibre
  • *
  • Messages: 823
  • Toulouse (31)
Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)
« Réponse #6 le: 28 novembre 2019 à 18:12:26 »
re bonjour à tous.

Effectivement, je n'ai pas parlé du wifi car par sécurité nous l'avons totalement désactivé.

Je n'ai pas configuré de DMZ ou un port-mapping (je ne sais d'ailleurs pas ce que c'est  ;D )

Les points d'amélioration :
- Une sauvegarde automatique sur un second site du NAS (différentielle avec plusieurs jour d'historique). Attention, si c'est mal mis en place, cela peut entrainer des risques pour les données / accès par un tiers.
- Une sauvegarde des postes de travail, si il y a des fichiers en local (c'est rare que tout soit sur le réseau)
- Faire un plan pour préparer ce qu'il faut faire en cas de panne du NAS (et que tu n'es pas là)

J'ai pensé au second NAS sur un autre site, mais je ne suis pas sûr d'avoir le niveau pour réaliser ce genre de configuration...  :-\

Sauvegarde des postes de travail, inutile nous n'avons aucun doc dessus, et si l'un de nous perd ses photos de mémé ou de son chien, ben tant pis pour lui tout le monde sait que rien n'est sauvegardé des machines locales. Toutes les données sont effectivement sur le NAS qui est donc sur le réseau.

Plan en cas de panne si je ne suis pas là, ben ils devront appeler un spécialiste réseau / nas, tous les codes sont à disposition de la direction.

Merci de m'avoir rassuré pour le parefeu de la livebox, du coup je pense être pas trop mal !

Si vous avez d'autres remarques n'hésitez pas !


ezivoco_163

  • Abonné Orange Fibre
  • *
  • Messages: 823
  • Toulouse (31)
Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)
« Réponse #7 le: 19 décembre 2019 à 08:38:06 »
bonjour, je reviens sur le sujet de la sauvegarde et donc de rétablir rapidement le travail dans le cas de ransomware...

Donc je re-résume pour ceux qui n'ont pas suivi  ;D

- 1 NAS synology
- 4 PC en réseau filaire

Tout le travail s'effectue directement sur les fichiers qui sont dans le NAS, aucun fichier n'est stocké en local dans chaque PC, et si c'est le cas les utilisateurs savent qu'ils sont considérés comme perdu en cas de panne...

Le NAS sauvegarde de la façon suivante :

- hyperback up sauvegarde quotidienne vers :
  • DD externe branché en usb et connecté en permanence
  • Dropbox (il s'agit de fichier de sauvegarde hyperback back, et non d'un "miroir" comme on pourrait le penser avec dropbox (Cloud sync)

- USB copy, copie hebdomadaire sur DD externe, le DD est retiré après copie et emporté à domicile.

Mon pb est pour hyperback up.

Si j'ai bien compris (je suis d'un niveau moyen on va dire), le DD est connecté en permanence, il est donc parfaitement accessible par le NAS pour y placer ses sauvegardes et c'est bien normal.

Pb, en cas de ransomware, j'ai peur que cela contamine le disque externe avec sa sauvegarde. Il ne resterai donc que la sauvegarde sur l'autre DD externe, mais qui est hebomadaire, ou la sauvegarde sur dropbox mais qui pourra être longue à récupérer (+ 200 Go).

Si j'ai bien compris ce qui m'a été dit que le forum du NAS, il faudrait que le disque soit "démonté" à la fin de la sauvegarde, et se "monte" avant de commencer la sauvegarde, tout cela doit être automatisé, sinon ça n'a aucun sens...

Ils m'avaient dit de faire des manip en SSH, mais ne sachant pas trop ce que c'est, et ayant peur de faire des "bip*, j'ai laissé tomber.

Avez vous une autre solution à me proposer ?

C'est un DS718+ à jour.

Merci pour vos conseils.

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 094
  • Alpes Maritimes (06)
Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)
« Réponse #8 le: 19 décembre 2019 à 09:07:48 »
Bonjour,

ça dépend aussi du ransom ware.
Si il ne tourne que sous Windows, si le DD externe attaché au NAS n'est pas accessible depuis les postes Windows, normalement le ransom ware ne le chiffrera pas.
Bon après, il ne faut pas que la sauvegarde des données chiffrées écrasent la "valide" d'avant.

ezivoco_163

  • Abonné Orange Fibre
  • *
  • Messages: 823
  • Toulouse (31)
Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)
« Réponse #9 le: 19 décembre 2019 à 09:16:20 »
re, ma crainte porte aussi sur un éventuels ransomware qui se propoge via le réseau depuis un pc win 10 vers le NAS et verrouille ce dernier, ce qui dans mon cas serait une tuile...

sinon effectivement, le DD externe du NAS, n'est pas accessible ni visible depuis les pc.

Les PC ne voient que les dossiers partagés du NAS.

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)
« Réponse #10 le: 19 décembre 2019 à 14:34:50 »
Les ransomware tournent sur les PC, pas sur les NAS.

Infecter le système d'exploitation du NAS, c'est théoriquement possible, mais il me semble qu'il y a très peu de cas.

ezivoco_163

  • Abonné Orange Fibre
  • *
  • Messages: 823
  • Toulouse (31)
Besoin d'aide pour upgrade réseau entreprise TPE (sécurisation)
« Réponse #11 le: 19 décembre 2019 à 14:37:48 »
re, j'ai déjà vu sur un forum un gars qui s'était fait "verrouiller" ses documents de son nas par un ransomware.

C'est pour ça que j'y pense !

Après de mémoire ce n'était pas un Synology.

Après je me dis que tout est possible.

edit : trouvé ça : https://www.malekal.com/nas-ransomware/ toutes les marques semblent touchées (à noter qu'il parle de synologic, mais c'est sûrement synology...).

ça aussi plein de gars qui ont perdu leurs données : https://www.forum-nas.fr/viewtopic.php?t=12281