On Sat, 11 Nov 2000, Pierre Keller - BCU Lausanne wrote:
> Actuellement, ce sont des postes WinNT, avec un programme
Sous WinNT, peux-tu, de fa�on s�re, emp�cher quelqu'un de reconfigurer les
adresses IP ? Sinon, sans routeur/firewall � chaque sous-r�seau une
s�curisation bas�e sur des adresses IP est impossible.
> C'est effectivement le point central. Est-il impossible
> de verrouiller cette configuration ?
Si tu peux la bloquer, � ce moment-l� un proxy-application suffit (s'ils
ne peuvent pas d�marrer sur disquette, qu'ils ne peuvent lancer aucune
application genre telnet).
Donc, r�sumons:
- les machines sont sur le m�me r�seau que les autres
cas a) - ils ne peuvent ni changer l'adresse IP ni d�marrer sur
disquette ou CD (BIOS avec password, sans backdoor)
b) - ils ne peuvent pas changer la configuration de leur client
WWW ni lancer aucun programme, ni faire a)
ma suggestion:
cas b: proxy/application squid qui rejette toute demande en dehors
du nom du serveur de donn�es `biblioth�que'.
cas a: proxy paquet qui filtre tout paquet destin� � l'ext�rieur du
r�seau de l'UNI, quand le paquet provient d'une de ces machines.
a. s�curise b. aussi.
Avec cela tu auras une protection optimale.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
