Nous avons un serveur 2008 R2 hébergé dans un centre de données auquel nous n'avons pas d'accès physique mais auquel nous nous connectons à l'aide de RDP.
Nous prévoyons d'exécuter SQL Server et quelques autres services qui ne doivent être accessibles qu'à un nombre limité d'adresses IP WAN statiques.
Malheureusement, il n'y a pas de dispositif de pare-feu dans le périmètre et nous ne pouvons compter que sur le pare-feu Windows.
Mon plan consiste à bloquer tout ce qui entre, à l'exception de certaines adresses IP figurant sur une liste blanche. Après avoir lu divers articles sur le Snap-in MMC, le pare-feu Windows, IPSec, etc., je suis tombé sur un article ici : https://serverfault.com/a/51223/214935
Cela m'a conduit à penser que si je crée une nouvelle règle entrante, peut-être appelée "Global Whitelist", qui contient ces adresses IP spécifiques/de confiance, si je désactive ensuite toutes les autres règles entrantes, tout le reste sera bloqué.
Franchement, ça a l'air d'être un bon plan mais ça me fait peur parce que si je foire ça, je tue notre seul accès au serveur.
Je n'aurais pas posé de nouvelle question si j'avais pu poster un commentaire sur le fil de discussion ci-dessus, mais étant nouveau ici, ma réputation est trop faible :-(
J'ai simplement besoin de clarifier si ce qui précède devrait fonctionner ou si je vais peut-être finir par couper notre seule connexion au serveur.
Peut-être existe-t-il un moyen plus efficace, plus propre et plus facile d'obtenir les mêmes résultats. Quelqu'un peut-il nous aider ?
3 votes
Disposez-vous d'un ordinateur local avec lequel vous pouvez pré-concevoir la règle de pare-feu et la tester ? Configurez la règle qui devrait fonctionner, mais utilisez un ensemble d'adresses IP locales privées à la place. Puis, une fois que l'effet désiré est atteint, remplacez les privées par les publiques et déposez le tout.
0 votes
Merci @MartinC, je commence avec cette approche et je crée une machine virtuelle Windows 7 pour les tests. Nous sommes sur un domaine où les règles de pare-feu sont verrouillées par GPO. Je ne voulais pas vraiment prendre une approche "essai et erreur" avec la sécurité de notre serveur, j'espérais que quelqu'un avec une expérience technique pour donner son avis ou des idées sur la façon dont cela est normalement réalisé, mais merci pour cette idée.