Bonjour,
 
J'ai de plus en plus de demande de connecter des machines (numériques, presse, ...) à internet pour permettre la télémaintenance.
Quelles sont les recommandations pour ce type d'architecture.
 
Pour le moment, j'ai juste un VLAN et aucun acces à internet.

Un vlan d'admin et des IP à autoriser (entrant / sortant) au niveau du FW ?
De notre côté, pour la e-maintenance des copieurs, il n'y a rien de spécifique comme les machines doivent juste pouvoir envoyer des infos (pas de connexion entrantes). Donc elles passent juste par le proxy avec un compte de service.

Là c'est l'inverse, les fournisseurs veulent prendre le contrôle depuis l'extérieur.
 
J'ai rien de mise en place.
Je suppose qu'ils utiliseront une sorte de teamviewer.
 

Bonjour
 
Ils passent par quel protocole et quel port? c'est déjà ce qu'il faut leur demander
 
Ensuite leur demander leur IP publique et dans le firewall faire une regle ip publique du fournisseur vers la machine avec le port qui va bien
 
Si connexion en http ou https sur différentes machines, ajouter un reverseproxy dans la ligne d'accés qui ferra alors le tri et les redirections qui vont bien

Un prestataire doit seulement utiliser l'outil de prise de main a distance que fournit la société "cliente" et non pas l'inverse.
Tu dois pouvoir exiger de tracer qui a le droit depuis l'extérieur de rentrer dans ton réseau.
PsYKrO_Fred tu n'as pas un advanced firewall qui permet de créér des accés de connexion distante ?
 
si tu as de l'argent : https://www.systancia.com/securisat [...] va-secure/

Plutôt que de fournir un accès direct au serveurs, donne-leur une plate-forme d'administration  que tu contrôles et qui évitera de disperser login et mdp à tous les vents.

en fait c'est : eWON
 
vous connaissez ?  
https://ewon.biz/fr
 
Est ce que mon service achat a craqué  ?

Votre service achat se permet de dire à la DSI quoi faire ?
 
(Le site ne m'inspire pas confiance en passant)

Votre Service Achats fait autorité sur la sécurité du SI ? Sérieusement ?

Perso, via un Fortigate, je donne accès à des prestas pour RDP sur des serveurs précis.
Il y accède via navigateur après authentification liée à notre AD.
Aucun plugins sur le navigateur à installer. Pas de client VPN.
C'est un portail WEB géré par le Fortigate.

non pour le moment, c'est pour ça que je prends les devant... pour essayer de répondre à leur besoin...
 
car dans tout les cas, cela va me retomber dessus.

ShonGail : idem que toi mais avec une autre marque de firewall avancé.
 
 
PsYKrO_Fred : tu n'as aucun équipement dans ton réseau qui pourrait faire cela ? stormshield, fortigate etc.. ?

Non sur le réseau machine vu qu'il n'y a pas d'internet, je n'ai aucun équipement.
 
J'ai 2 solutions :  
 
Soit investir dans un FW mais dans ce cas je voudrai que cela soit gérer par un prestataire.
 
Soit je peux demander à mon "FAI" de me faire le filtrage.