Le VPN oui ... mais et la sécurité dans tout çà ? - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 11-12-2010 à 18:32:36
Du VPN comment ? Parce qu'avec des applis Webifiées via des portails SSL, bon courage pour mener une intrusion au niveau 3
Marsh Posté le 13-12-2010 à 10:17:29
Rien ne garantie une sécurité 100% dès que tu es connecté
Mais le VPN est tout de même éprouvé.
IPsec est de niveau 3 aussi je crois.
Un peu de lecture:
http://www.cisco.com/web/FR/cisco_ [...] VPN_v4.pdf
http://fr.wikipedia.org/wiki/R%C3% [...] A9_virtuel
Marsh Posté le 13-12-2010 à 10:32:02
Si c'est bien fait, les personnes ont un accès plus restreint aux ressources du SI via VPN que si elles étaient en interne.
Marsh Posté le 13-12-2010 à 11:58:36
Exactement.
Un vpn ne doit pas être du any to any.
Ceci dit, il y a quand meme un risque. Car il est possible de corrompre une machine auquelle le vpn donne accès pour ensuite voir l'ensemble du Lan.
Dans un SI ideal, il faut que les accès donnés se limite à la DMZ. Mais c'est loin d'etre toujours évident.
Marsh Posté le 13-12-2010 à 16:01:55
Un VPN est simplement un outils, dire que c'est une brèche simplement en mentionnant le mot clé VPN et calculette et ouverture sur le LAN, c'est n'importe quoi. Mais bon venant de tron20 qui un poil reconnu sur le forum pour ses multi générateurs de topic à troll, ce n'est pas surprenant...
Sinon :
Il existe beaucoup de solution de VPN en allant des VPN SSL où toutes les applications accessibles sont webifiés et l'accès est durement gérés aux VPN (IPsec ou même SSL voir autre) de type site à site (même pour les nomades) avec full accès au réseau.
Entre les deux il existe de nombreuses solutions pouvant être mixées :
- mécanisme allant du login / password à la PKI avec certificats des équipements distants, One Time Password (la fameuse calculette)
- cloisonnement des nomades dans un LAN spécifique avec politiques restreintes d'accès au reste du SI
- utilisation de reverse proxy ou de serveur pour rebondir vers l'intérieur du SI
- utilisation de virtualisation (citrix, tse, etc...)
- test de conformité (vérification de certaines règles sur le poste client : antivirus activé et à jour, firewall, mise à jour de l'OS et des softs, etc...) et forcer l'utilisateur à soigner son PC ou à l'upgrader avant l'autoriser à se connecter au réseau corporate.
Bref, c'est vaste, les admins sont souvent mal renseignés car malheureusement la sécurité est souvent vu comme un poste de dépense, de complexité, de contrainte, etc... Pour les petites sociétés, c'est souvent remis à plus tard.
Bref (encore), la sécurité doit être vu de bout en bout et de manière cohérente, pas seulement en parlant "VPN et calculette"
Marsh Posté le 13-12-2010 à 16:06:36
Tounet a écrit : Un vpn ne doit pas être du any to any. |
Comme ce que je viens de dire : tout dépend de comment c'est fait, des ressources humaines au niveau de la DSI et la répartition des admins, l'organisation interne.
Un grand nombre de VPN aujourd'hui sont any to any de par la nature intrinsèque de la techno utilisée avec toute la sécurité qu'il est nécessaire. Cela apporte une grande flexibilité et permet d'optimiser les flux. Tu peux coller une brique sécurité et filtrage sur les VPN any to any ou avoir recours à des subtilités de la techno pour restreindre un poil le any to any directement dans le VPN.
J'ai du mal à comprendre certains postulats de ce type en écartant des solutions/concepts sous prétexte que idéologiquement "ça se fait pas" : tout dépend comment c'est géré de bout en bout, du contexte & co. La sécurité ne doit pas être vu comme contraignante, c'est le meilleur moyen pour que les utilisateurs la contourne.
Marsh Posté le 17-12-2010 à 23:23:47
o'gure a écrit : Un VPN est simplement un outils, dire que c'est une brèche simplement en mentionnant le mot clé VPN et calculette et ouverture sur le LAN, c'est n'importe quoi. Mais bon venant de tron20 qui un poil reconnu sur le forum pour ses multi générateurs de topic à troll, ce n'est pas surprenant... |
Écoutes je suis peut être multi générateur de ce que tu veux : tu n'apportes aucune réponse à la question , alors la c'est toi le générateur de troll ... merci de passer ton chemin.
Ma réputation n'est peut être pas fumeuse sur les forums : dans le milieu professionnel mes actions sont bien réelles et reconnu (mon cv et mes réalisations sont vérifiables !!!), je ne suis pas qu'un beau parleur et théoricien de forum comme beaucoup, je conçoit et je met en œuvre.
Marsh Posté le 17-12-2010 à 23:26:20
Tounet a écrit : Exactement. |
Pas sure.
des très gros compte sont en any to any avec des vpn cisco.
Mais je discute avec des jusque boutiste en sécu : il paraitrait que la DMz soit remise en cause. Pour eux cela devient un concept dépassé ...
Marsh Posté le 17-12-2010 à 23:30:44
o'gure a écrit : |
... aujourd'hui on travaille beaucoup plus sur les plans de reprise après sinistre mon cher ...
on considère même que la DMZ n'a plus lieu d'être : le LAN tout entier est DMZ !
visiblement tu focalises sur l'existant, le technique ...
Tout est faillible, il faut l'admettre mais cela est surtout dure pour les obtus ou les personnes trop sure d'elles ...
Marsh Posté le 17-12-2010 à 23:46:01
o'gure : tu comprendras certaines choses en lisant ce genre de news ...
http://www.macbidouille.com/news/2 [...] ns-openbsd
http://www.presence-pc.com/actuali [...] tor=RSS-11
http://www.macgeneration.com/news/ [...] penbsd-maj
... j'espère.
"Theo de Raadt" prends cela très au sérieux.
Marsh Posté le 11-12-2010 à 17:28:04
Je vois que le VPN est l'indispensable du télétravailleur mais je trouve que niveau sécurité c'est vraiment une brèche (ne parlons plus de faille) dans le sécurité du SI.
En effet une fois un VPN monté (via la calculette) on est sur le LAN de la boite , avec tout les accès qui vont avec ... c'est tout bonnement dingue (surtout si le client VPN vient de faire un tour sur le réseau familiale avec une chtite "mst" qui va bien ....) : faites vous comme cela chez vous ?
Du VPN bidirectionnel en inter site (avec des chiffreurs propre à la boite ) ok cela passe ... mais rappelons nous des failles de 2003 dans l'ios de cisco : une tuerie pour les fai (j'y étais).
Y'a des archi. plus secure que le basique VPN?
---------------
Asrock conroe 945g-dvi