Bonjour,
 
Je recherche une solution de chiffrement pour un serveur de base de données et un serveur de fichiers.
Les deux serveurs sont virtualisés sous VmWare, et sont des serveurs Windows.
Le but est de garantir la confidentialité contre tout accès physique à ces serveurs. (Les locaux sont sécurisés mais l'objectif est de garantir qu'aucune informations ne sortent.... d'aucune façons possibles...)
 
J'aurais voulu trouver une solution gratuite ou payante permettant de chiffrer ces serveurs.  
J'ai trouvé en recherchant sur le web TrueCrypt : http://www.truecrypt.org/
Ce soft me permet apparemment de chiffrer le système d'exploitation complet (j'ai testé sous une vm sur Windows xp).  
Avez-vous des retours à ce sujet?
 
J'ai aussi vu que VmWare possédait une fonction permettant de crypter les VM. Cependant je ne trouve aucune documentations à ce sujet.
 
J'ai aussi une interrogation :
Si un utilisateur du réseau souhaite accéder à la base de données à travers son logiciel de gestion. Celui-ci devra t-il s’authentifier pour déchiffrer la base?
Il faut que le chiffrement ne gène les utilisateurs du réseau en aucun cas ; que ce soit entièrement transparent pour eux.
 
Merci bien,  
 
Sasuke

J'ai pas tout compris. Quel besoin de crypter un OS pour le protéger d'un accès physique ? (en plus ils sont virtuels tes serveurs donc tu veux protéger quoi ? ton esx ?)
Il y a un login mot de passe à entrer pour ouvrir une session sur un système, même si on s'y connecte en console, et il faut déjà s'être authentifié sur vSphere Client avant.

Exemple tout con : Tu as un DC, on te le vole tu as accès aux mots de passe de tout le monde

Ah ?
Les mdp dans AD sont pas cryptés ?

On te vole la machine virtuelle ?

Tu veux te prémunir d'un accès physique aux serveurs ?
Mais s'ils sont en DATACENTER, tu as déjà un contrôle restrictif des accès, non ?
Tu peux en plus mettre tes serveurs dans une baie avec serrure, non ?

 
Ca se déchiffre pas difficilement
 

 
Bah c'est encore plus simple qu'un serveur physique puisqu'il suffit de chopper un fichier ...
 
Et le comble c'est que tu réinitialises un mdp admins, tu refous la VM sur le réseau et zou ça réplique ...

lol mais tu sais qu'on n'utilise pas un livecd pour péter l'admin d'un domaine non ?

Pas besoin tu montes le disque virtuel

Okay et donc tu veux aller ouvrir le ntds.dit comme ça sans authentification et lire ce qu'il y a dedans

A vérifier mais ça doit être possible oui http://www.elcomsoft.com/esr.html en 2 sec sur google

Moi je crois que tu vas obtenir un hash et tu sauras rien en faire :x

un ptit ophcrack et ça devrait être bon je dirais.
 
J'ai eu plusieurs echo du support MS ayant des call en sev A pour des histoires de vols de DC où la boite appel en toute urgence le support premier pour savoir quoi faire suite a la détection que :
- un dc était volé
- les mdp admins étaient corrompus/inutilisables
 
donc j'imagine bien que c'est possible.

Pas encore trouvé d'exemple concret de compromission via vol de DC perso.

Article intéressant sur ce qu'il faut faire si on te vole un DC : http://blog.joeware.net/2006/09/05/593/ (bon un peu daté mais Steve Riley reste une référence dans le domaine de la sécurité, surtout sur les infras MS

 
Donc du brute force.
Si les mdp des comptes admin sont complexes, non logiques et alphanumériques, ca risque de ne jamais aboutir.

rainbow tables, j'ai pas de tête mais je crois que ophcrack fait les mdp jusqu'à 14 caractères complexes

ophcrack d'après la description ça "décrypte" (je crois vraiment pas que le mot soit approprié ) des hashs lm vieux de windows 95.
Les hashs lm sont par défaut encore autorisés sur les AD 2003 mais tout domaine correctement configuré les a bannis depuis longtemps.
Ca marche pas sur un AD

C'est pour ça que à côté de LM, tu as NTLM sur la page de présentation ...  "Cracks LM and NTLM hashes."

ntlm la première version d'il y a 12 ans ?

Si le soft marche sur Vista je te laisse deviner ...
Tu es même pas foutu de lire la page de présentation du soft et tu essaies de nier l'évidence qu'une fois que tu as accès à un DC ton infra AD entière est comprise. Il vaut mieux essayer de se protéger que d'essayer de nier ...

De toutes façons, à partir du moment où on a un accès physique au DC, inutile de vouloir cracker un mdp d'un compte admin du domaine.
Il est bcp plus rapide de le réinitialiser.

La page de présentation du soft est bloquée chez moi donc je me débrouille avec les pages annexes, qui sont pas d'une limpidité absolue spécialement concernant les mots de passe d'un AD.
 
Fin bref bon courage à l'OP pour restaurer son DC crypté, et n'oublie pas de sauvegarder la clé privée autre part que sur ta clé USB perso

Pou Voler une VM, il n'y a pas 50 possibilités  "à la louche" :  
 
1) Accéder physiquement au serveur ESX et lui voler ses disques et l'on prendra soin de les remonter sur un serveur equivalent ( attention a la gestion du raid).
 
2) Accéder physiquement au serveur ESX, lui plugger un disque externe (que l'on montera) dans un datastore, connaitre le login et le mot de passe admin et faire un snapshot ou un backup de la VM.
 
3) Accéder aux sauvegardes (bandes de backup par exemple) et redescendre ce backup sur un serveur identique après le voleur a tout le temps pour peter le mot de passe  
 
4) Via le réseau et en utilisant le Client VIC mais il faut connaitre le couple login/mdp de l'ESX
 
5) Via le réseau en utilisant VMWare vCenter Converter mais il faut connaitre le couple login/mdp de l'ESX
 
 
Bref dans la majorité des cas il faudra connaitre le login et le mot de passe de l'ESX.   Donc à vous de bien bétonner le mot de passe de celui-ci. Ensuite dès qu'une tentative d'intrusion (physique ou via lan) est détectée, il faut impérativement changer l'ensemble des mots de passe des comptes "sensibles".  
 
Et biensurs avoir une politique de gestion des mots de passe (complexité durée de vie....etc...)   pour les  admin ET les utilisateur.
 
 

 
exactement

Je dois rendre les données inaccessibles aux administrateurs systèmes. Ils doivent pouvoir administrer les serveurs sans pour autant avoir accès aux données...

Y a que Kerberos qui n'a pas encore été cracké, LM/NTLMv1/NTLMv2 ça se pète relativement facilement.

Bien sur. C'est d'ailleurs .e but des rodc...

 
Salut,
 
Si tu trouves une solution générale/universelle, ça m'intéresse, mes clients me demandent la même chose.
 
Jusqu'à présent, je suis capable de protéger les données contre le vol physique (du serveur, du storage, des backups, via encryption du storage en question) mais protéger les données contre moi même, je cherche encore ...
 
A+

Bonjour a tous  
 
il existe une solution peu présente sur le marché francais crée par Thales
TEMS ( Thales encryptions manger for storage)  
cela cryptes les data sur bande ou bien sur la baie.
 
Autre solution pour crypter les data sur le stockage , les boitiers Decru Datafort ( racheter par Netapp)