WS-Shield Homeland Acces

Lors de la sélection d’un des fournisseurs listé dans cette section, WS-Shield construit une table des adresses IP des Autonomous Systems de ces sociétés. Toute adresse IP distante qui se trouve dans cette table est autorisée. Ne cochez pas Microsoft, et votre ordinateur ne pourra établir aucun contact avec l’éditeur.

Chaque adresse IP saisie ici est autorisée quelques soient les autres choix. Idem pour les noms de domaines dont on ne saisit pas le Top-level domain. Ne renseignez pas de sous domaine, cela invalide le domaine lui même. Le contrôle se base sur la présence du nom de domaine dans ce que retourne le DNS ou la requête WHOIS.

Autorisez les USA, le Canada et le Mexique, mais ne cochez pas Google. Le résultat est que votre ordinateur comunnique avec l’Amérique du Nord hormis Google. Il est nécessaire d’autoriser au moins un pays, mais ce peut être Saint-Pierre et Miquelon avec Google et Facebook. Ce sont des des tests  à faire pour bien dicerner les stratégies possibles.

Saisissez 192.168.1. et le poste ne communique qu’avec les IP qui commencent par 192.168.1. Si  vous décochez Allow computers LAN et renseignez des IP LAN dans Allow IP Address, le poste est coupé du réseau local hormis ce qui est autorisé. Pour un poste de travail, autorisez serveurs, imprimantes, routeur, pays, domaines, et constituez une stratégie de sécurité contre la malveillance interne, l’attaque de l’home du milieu et contre la propagation de virus.

Se couper des USA est un choix. Le log constitué par Homeland Access montre un perpétuel trafic entre le poste et l’Amérique du Nord. Une grande partie de ce trafique est illégitime, cependant le nombre de ressources Internet basé aux Etats Unis est considérable. Allow United States est un raccourci à la sélection du pays dans la liste. Switcher rapidement entre les deux options permet de se forger une opinion sur le meilleur mode de fonctionnement du poste et sa sécurité.

Ce mode consiste à considérer que la nouvelle adresse IP distante détectée est à interdire immédiatement, à être vérifiée et selon le résultat du contrôle à être autorisée ou définitivement interdite d’accès. Une même adresse IP distante est contrôlée une fois par WS-SHield et non à chaque connexion ni durant tout le temps de ses échanges avec le poste. Mais entre le moment où l’IP est prise en charge et sa validation, une stratégie de sécurité élevée mène à interdir d’abord, à vérifier ensuite.

Autoriser les connexions et les échanges avec l’éditeur est nécessaire dans le cadre des mises à jour de ses logiciels en particulier. WS-Shield permet de soustraire de cette ouverture tout ce qui concerne la télémétrie.

Au moment de la mise en production de Homeland Access Shield, les choix nécessitent un référentiel. L’option Don’t block connections indique à WS-Shield de fonctionner avec les paramètres définis sans rien bloquer. Le log constitue le référentiel de cet apprentissage.

A tout moment, n’hésitez pas à adapter vos règles et à repartir de zéro. Arrivé à un certain stade, vous aurez déterminé la meilleur stratégie de sécurité du poste, du site, de l’infrastructure que WS-Shield doit protéger.