Sécurisation d'un poste public

A

archeos

Membre expert
Club iGen
16 Janvier 2001
1 840
1
Alpes de Haute Provence
Bonjour

En tant que responsable d'informatisation pour une collectivité publique, je vais être amené à installer des postes publics dans des bibliothèques. J'ai le choix entre PC et Mac. Sur certains postes, il n'y aura qu'un accès Internet : là c'est facile, il y a iCab ou wKiosk. Sur d'autres postes, on doit permettre l'accès à certaines applications : là je bloque. Je peux créer un utilisateur qui n'a accès qu'à une application, mais comment empêcher l'utilisation de CD ou de clef USB ? Comment empêcher l'installation d'applications (par exemple dans un sous-répertoire) ? Connaissez-vous des solutions intégrées, simples à maintenir, sécurisant totalement un Mac ?
 
pour empêcher l'insertion CD ou Péripheriques tu peux eventuellement envisager des bloqueurs physiques
- dont le bon vieux scotch d'électricien- moche mais efficace
j'ai vu sur le web des bloqueurs " en dur" plus élégants adaptés à divers machines , mais où je ne sais plus
 
archeos a dit:
Bonjour

En tant que responsable d'informatisation pour une collectivité publique, je vais être amené à installer des postes publics dans des bibliothèques. J'ai le choix entre PC et Mac. Sur certains postes, il n'y aura qu'un accès Internet : là c'est facile, il y a iCab ou wKiosk. Sur d'autres postes, on doit permettre l'accès à certaines applications : là je bloque. Je peux créer un utilisateur qui n'a accès qu'à une application, mais comment empêcher l'utilisation de CD ou de clef USB ? Comment empêcher l'installation d'applications (par exemple dans un sous-répertoire) ? Connaissez-vous des solutions intégrées, simples à maintenir, sécurisant totalement un Mac ?
Cliquez pour agrandir...

oui osX serveur. Pack 10 licences, et tu gères tes mac en solution mobile avec une connexion VPN depuis le compte admin. Ton os X serveur étant installé sur ta machine principale ou idéalement une station fixe. Le but étant de que de gérer des comptes et des droits d'accès. Et tous tes problèmes s'envolent.
tu pourras même gérer les sites que tu ne veux pas que l'on aille voir... elle est pas belle la vie?;)
Tu pourras éviter le montage d'un disque ou au contraire n'autoriser que les CD et DVD en lecture (donc pas de rippage sauvage dans ta bibliothèque)

si ton budget le permet, je te conseille également en addendum Apple Remote Desktop afin de :
1/ pouvoir faire la maintenance de tes postes sans te déplcer
2/ surveiller l'utilisation de tes macs à distance et en toute transparence.

Si d'autres questions n'hésitent pas, mais ton budget, config comprise ne devrait pas dépasser les 2000 euros, ce qui en soit est une somme, mais si tu veux la même chose sur PC, lance un appel d'offres :D :D :D :D
 
J'ai relu
un point que j'avais négligé bornes accès "très grand public"
Autant j'aime bien Mac , autant j'ai vu aussi pas mal de gens ( nioubes ou presque , pécéistes à la maison ) être réticents au mac quand il y en avait en accès public ( la fameuse experience imacG3 à la Poste d'il y a quelques années )
 
pascalformac a dit:
J'ai relu
un point que j'avais négligé bornes accès "très grand public"
Autant j'aime bien Mac , autant j'ai vu aussi pas mal de gens ( nioubes ou presque , pécéistes à la maison ) être réticents au mac quand il y en avait en accès public ( la fameuse experience imacG3 à la Poste d'il y a quelques années )
Cliquez pour agrandir...

oui pascal, c'est vrai mais il faut tempérer pour deux raisons:
1/ le mac est redevenu plus populaire (iTunes, iPod et iPhone y étant pour beaucoup)
2/ dans les aéroports, je n'ai vu que des macs... euh, j'ai pas réussi à mettre la main dessus tellement y a de monde... (Maintenant, le partage de l'airport non verrouillé mais fera toujours autant rire...)

Maintenant, c'est vrai, il restera toujours un ou deux qui n'iront pas dessus. Mais encore une fois, il vaut mieux des macs bien gérés que des PC en maintenance:D
 
Sur Mac comme sur PC, il n'y a pas de moyen sûr à 100% d'empêcher des "petits malins" bien renseignés de prendre le contrôle de la machine et de faire tourner leurs propres logiciels, à part interdire physiquement et logiciellement l'accès aux périphériques : il faut condamner les ports d'entrée/sortie (FW, USB, etc.) et les lecteurs (optiques et de cartes mémoire), et couper les accès vers Internet et les liaisons sans fil.

Si l'on ne veut pas en arriver à de telles extrémités, il faut définir une politique de sécurité dans laquelle on laissera subsister des failles correspondant à certains types d'attaques qu'on juge improbables. Ça mérite donc une étude sérieuse.
 
Là dessus je suis d'accord ( avé vleroy , avec toi aussi Pa5calou ;) )

il restera à afficher à coté des bornes les bases propres à OSX ( du simple genre cliquer le rouge- fenêtre ne ferme pas l'appli etc)
 
d'abord merci pour les réponses rapides.

La solution MacOS X server est séduisante, mais il y a onze postes publics, dans 8 bibliothèques :nailbiting: , et comme le logiciel de bibliothèque n'est pas encore choisi (Full web avec base unique ou une licence et une BDD par bibliothèque), ce ne sera peut-être pas faisable.

En fait je pensai à l'équivalent d’un Acces'sites de Mediadoc, pas parfait mais sécurisant pour l'esprit des décideurs.

pascalformac a dit:
autant j'ai vu aussi pas mal de gens être réticents au mac quand il y en avait en accès public ( la fameuse experience imacG3 à la Poste d'il y a quelques années )
Cliquez pour agrandir...

c'est vrai que j'ai vu ça quelques fois, mais de toute façon, c'est la campagne complète : soit les gens du cru ne connaissent pas, soit les touristes n'auront que ça :D . Et on peut espérer qu'au retour ils seront impressionnés et achèteront un mac (on peut rêver). Tu pensais à quoi quand tu disais ''quelques failles choisies'' ?
 
archeos a dit:
c'est vrai que j'ai vu ça quelques fois, mais de toute façon, c'est la campagne complète : soit les gens du cru ne connaissent pas, soit les touristes n'auront que ça :D . Et on peut espérer qu'au retour ils seront impressionnés et achèteront un mac (on peut rêver).
Cliquez pour agrandir...
exactement, ou au minimum être séduits et pas contre :D
Tu pensais à quoi quand tu disais ''quelques failles choisies'' ?
Cliquez pour agrandir...
hein? et où je dis ca?
Ahh ok c'est l'autre..PA5CAL ( avé le 5):)
 
et je confirme en osxserveur, la gestion des ordis en compte mobile permet de fermer les usb, les firewire et de ne monter aucun disque
L'internet peut également être géré.
Et puis tu peux aussi verrouiller la liste des applications inutilisables du style:
pas touche au terminal, pas à mail, pas à tout ce que tu veux pas qu'ils touchent.

Le fait qu'ils soient délocalisés ne posent pas de problème, c'est le principe du compte mobile. Reste à mettre en place une solution VPN qui te permette d'utiliser ta base de données depuis le serveur.
question: est-ce que le débit sera suffisant?
 
vleroy a dit:
et je confirme en osxserveur, la gestion des ordis en compte mobile permet de fermer les usb, les firewire et de ne monter aucun disque
Cliquez pour agrandir...

Assez puissant, après ce sera juste une question de budget

vleroy a dit:
question: est-ce que le débit sera suffisant?
Cliquez pour agrandir...

Bah, une fois installé, ce ne sera pas souvent la peine de le modifier.
 
archeos a dit:
Bah, une fois installé, ce ne sera pas souvent la peine de le modifier.
Cliquez pour agrandir...

La question n'est pas là ou je me suis mal exprimé. Si tes postes clients doivent être administrés, l'idéal est de mettre en place une connexion VPN donc sécurisée entre ton client et le serveur qui:
1/ vérifie les droits et gère tes machines (au passage te donne un historique complet des logs)
2/ distribue l'information à la volée de ta base de donnée

Le problème du VPN est le fait que la bande passante (fournie par ton FAI) va mathématiquement se diviser par deux. Dans le sens montée, cela ne pose pas de grands soucis avec les débits actuels mais en descente, c'est une autre paire de manche...

Dans notre cas (à peu près la même taille de parc que ce que tu souhaites), on a réglé le problème avec un débit garanti 2GO en montée et descente au niveau du serveur. Là ça gazouille pleinement. Mais c'était possible par un réseau local en fibre optique... Ce n'est pas toujours le cas ou à des prix exhorbitants... tiens compte aussi de ce paramètre
 
vleroy a dit:
Dans notre cas (à peu près la même taille de parc que ce que tu souhaites), on a réglé le problème avec un débit garanti 2GO en montée et descente au niveau du serveur. Là ça gazouille pleinement. Mais c'était possible par un réseau local en fibre optique...
Cliquez pour agrandir...
Ah oui, mais là ça va pas être possible : on est déjà content d'avoir l'ADSL 2 Mo (8 Mo sur la brochure, mais non garantis).

Du coup, l'appli de sécurisation poste par poste est pas mal : entre iCab pour la navigation, et DeepFreeze pour retrouver une config identique sans mal. La SSLL PMB propose le même genre de chose : un poste sous Linux, qui retrouve sa config initiale au démarrage.
 
archeos a dit:
Tu pensais à quoi quand tu disais ''quelques failles choisies'' ?
Cliquez pour agrandir...
Je parlais de laisser certains scénarios d'attaques de côté, comme par exemple ceux nécessitant une interruption momentanée de l'alimentation et la connaissance d'un mot de passe ou de la procédure pour accéder à un "backdoor", ou encore l'utilisation d'un DVD système.

En fait tout dépend contre quoi on veut se protéger.
 
Les postes publics vont être installés dans 10 bibliothèques, qui auront toutes une politique d'usage différente : au minimum consultation du catalogue local, certaines laissant en plus accès à Internet, et au plus, utilisation d'un traitement de texte. Tout dépend de l'environnement : s'il y a un cybercafé à coté, pas question de lui faire concurrence (même 4 heures par semaine) ; s'il y a un point informatique « social », pas de traitement de texte, etc. Donc en fait, interdire l'accès aux ports USB est intéressant, mais l'essentiel est d'interdire l'installation d'applications non-voulues (pour ça le Mac a un avantage indéniable), l'utilisation d'applications en dehors du navigateur et éventuellement du traitement de texte. Et bien sur garantir le minimum de maintenance, vu que je ne suis là qu'un an, le temps d'installer le tout : et là encore, le Mac coûte moins cher en maintenance et a moins de périodes d'indisponibilité que le PC.

Pour les problèmes que tu évoques :
* coupure d'électricité : avec un redémarrage auto et ouverture auto de la session protégée, ça devrait aller ? (J'ai bon ?)
* pour le DVD système et la backdoor : j'espère qu'il y en a peu sur mac (DVD comme backdoor et personnes voulant s'en servir de façon nuisible)
 
archéos t'es localisé ou?
en fonction de la réponse, je te montrerai une interface en osx serveur et compte mobile, au besoin, je t'enverrai vers un pro qui ne fait que ça (conseillé par apple)
 
Dans l'absolu, les pc étant largement plus répandu, le nombre de petits malins sachant bricoler un mac est quand même plus restrein non ?
 
Probablement. Mais il existe bien différents types de PC, avec des procédures de hacking spécifiques, et les Macs ne sont en quelque sorte que des PC un peu particuliers.


Dans mon travail, j'ai été amené plusieurs fois à reprendre le contrôle de PC protégés par des mots de passe inconnus, les personnes auxquelles ils avaient été provisoirement confiés étant partis sans laisser d'indication. J'ai dû selon le cas bricoler un dongle sur le port parallèle, utiliser un mot de passe alternatif fourni par le constructeur, utiliser une combinaison de touches au démarrage, ou booter sur un CD sous Linux avec des outils de hacking spécifiques. Même si la méthode variait selon le modèle, aucun ne m'a résisté jusque là, parce qu'il existait toujours une faille.

En dernier recours, j'aurais même pu démonter l'ordinateur (mais je n'ai pas eu à le faire).


Or, pour les Macs, j'ai justement entendu parler d'un dongle USB que la police serait susceptible d'utiliser pour récupérer les mots de passe de la machine pour des besoins d'enquête. Il y aurait donc là aussi, tout comme les autres ordinateurs, une faille laissée sciemment ouverte.

De toute manière, au moins depuis le Patriot Act, toutes ces machines (fabriquées sous licence américaine ou pour un marché sous contrôle américain) ne peuvent décemment pas être totalement inviolables...
 

Sujets similaires

la_pendule
MacBook Pro Passer au macbook pro ?
Réponses
78
Affichages
10K
Switch et conseils d’achat Mac
la_pendule
la_pendule
C
10.13 High Sierra Démarrage impossible depuis "diskutil apfs resizecontainer"
Réponses
2
Affichages
1K
macOS
Malla17
M
S
10.13 High Sierra Restauration via CCC avec changement de système
Réponses
2
Affichages
783
macOS
Samourai2
S
Z
Accès à distance de ma TC depuis iDevice ou interface web
Réponses
2
Affichages
889
FAI et réseau Mac
zeyon
Z
Roberto Vendez
Dix ans après, bon chien de nom d'un sang !
Réponses
142
Affichages
55K
La terrasse
TimeCapsule
TimeCapsule
Haut Bas
Back