Hello!
 
Dans ma boite, on utilise des KVM raritan 16 ports afin de manager certaines machines via une console Java.
 
Les produits qu'on utilise sont vieux et posent souvent problème avec des incompatibilités de Java récentes sur nos postes d'admins.
 
J'aurais voulu savoir quel matériel vous utilisez afin de prendre la main sur vos machines quand vous avez un soucis réseau ou des problèmes de boot au démarrage sans passer par un écran externe et un clavier usb dans la salle info.
 
Merci

Ou je travaille, c'est via l'IPMI des serveurs sur un vLAN dédié.
L'IPMI a d'autre nom commerciaux, par example:
- Dell : idrac
- Fujitsu : iRMC

Intel AMT ?  

non avons ce produit
http://www.aten.com/us/en/products [...] s/cl1308n/
 
mais attention,nous n'avons que peu de serveur physiques (5) tout le reste est virtuel, donc on passe par les ILO que l'on attaque depuis l'un des serveurs physiques (notre managment server)

 
Moi aussi j'utilise les interfaces de management en passant par les cartes ILO etc.. mais certains anciens serveurs en sont dépourvus.
D'où les KVM.

Attendez, vous aves des iLO qui sont pas out of band ?  

pourquoi tu mettrais tes ilo out of band???

 
Euh ... parce que c'est une interface de gestion prévue pour être out-of-band.
C'est quand même chaud d'un point de vue sécurité de les mettre sur le même réseau que ta prod ...

va falloir plus d'arguments que ça qd même

on les tape dans le managment vlan mais pas out of band

 
Si t'es serein sur ta segmentation/ségrégation c'est cool.
Vu les features, perso je serais moyennement confiant. Après, ça dépend de l'infra que tu gères, si c'est l'association du coin ou une fromagerie, pourquoi pas.
 
Mais clairement, des VLAN + ségrégation c'est déjà un bon début, vu le nombre d'iLo qu'on voit sur des réseaux à plat  

réseau d'une agence fédérale avec KPI influencés par des textes légaux, HA, redondance et tout le bataclan
Les accès au managment vlan sont restreints à certaines IP non distribuées par DHCp évidemment, les utilisateurs sont dans le range dhcp et nous filtrons les machines connectées via mac adress

 
C'est censé être rassurant en fait ? Y'a quoi de plus trivial que de s'attribuer une IP fixe avec une adresse MAC spoofée ?
Donc oui, on en revient à la fromagerie.
Tant que y'a pas de pognon ou de vie en jeu, c'est acceptable.

heu oui mais sans les droits comment veux tu t'attribuer une ip sur ta machine?

PS : comment tu définis ségrégation dans un réseau parce que là j'ai beau chercher je ne vois pas le sens que tu souhaites lui donner... ségmentation ok, mais ségragation

 
Ok donc tu pars du postulat que :
- Aucun périphérique non approuvé ne peut rentrer sur ton réseau (vu que seulement du filtrage MAC, en quelques secondes c'est fait);
OU
- Aucun de tes utilisateurs n'a accès à des comptes privilégiés (j'ai peu de toute que tu n'ai pas de full disk encryption/interdit le boot USB/PXE ou autre);
Niveau sécurité, ça ou rien c'est quand même kiff-kiff.
On parle de quel type de société ?
 

 
Par segmentation j'entends créer des sous ensembles/zones de machines/IP (e.g. définition d'un VLAN VoIP, de management, serveurs, client, prod ...)
Par ségrégation, j'entends appliquer des règles de passage d'une zone à l'autre (routage/firewalling).
Ca sert pas à grand chose de définir un VLAN de management s'il est joignable depuis le VLAN utilisateur, par exemple.

non justement je t'ai dit que le vlan de mgm était accessible que depuis quelques machines via des règles
qui sont dans le vlan admin
 
le boot n'est autorisé sur toutes les machines que sur le ssd, bios vérouillé par mot de passe
Le boot PXE doit être activé dans le BIOS à chaque installation de machine, puis on le désactive
Toutes les machines sont bitlockées
les machines autorisées sur le réseau ne sont que celles dont la macadress est connue (et c'est galère à gèrer)
 
Type de société : institution gouvernementale, en rapport avec la sécurité et le nucléaire
 
Les utilisateurs n'ont que des droits "utilisateurs" pas de droits particuliers.
Même nous à l'ICT avons des droits utilisateurs + un compte admin

Dommage qu’il y ait pas de NAC digne de ce nom pour aller avec le reste

c'est en cours, on est dans n projet (achat déjà validé) de remplacement des switches avec des Aruba et nous allons implémenter le NAC.
De toute façon la première barrière est le controle d'accès du batiment, qui certe n'est pas plus infallible que le reste, mais est conséquent