Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1071 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Le VPN oui ... mais et la sécurité dans tout çà ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Le VPN oui ... mais et la sécurité dans tout çà ?

n°74605
tron20
Posté le 11-12-2010 à 17:28:04  profilanswer
 

Je vois que le VPN est l'indispensable du télétravailleur mais je trouve que niveau sécurité c'est vraiment une brèche (ne parlons plus de faille) dans le sécurité du SI.
 
En effet une fois un VPN monté (via la calculette) on est sur le LAN de la boite , avec tout les accès qui vont avec ... c'est tout bonnement dingue (surtout si le client VPN vient de faire un tour sur le réseau familiale avec une chtite "mst"  qui va bien ....)  : faites vous comme cela chez vous  ?
 
Du VPN bidirectionnel en inter site (avec des chiffreurs propre à la boite ) ok cela passe ... mais rappelons nous des failles de 2003 dans l'ios de cisco : une tuerie pour les fai (j'y étais).
 
Y'a des archi. plus secure que le basique VPN?


---------------
Asrock conroe 945g-dvi
mood
Publicité
Posté le 11-12-2010 à 17:28:04  profilanswer
 

n°74611
dreamer18
CDLM
Posté le 11-12-2010 à 18:32:36  profilanswer
 

Du VPN comment ? Parce qu'avec des applis Webifiées via des portails SSL, bon courage pour mener une intrusion au niveau 3 :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°74665
akabis
.
Posté le 13-12-2010 à 10:17:29  profilanswer
 

Rien ne garantie une sécurité 100% dès que tu es connecté
Mais le VPN est tout de même éprouvé.
IPsec est de niveau 3 aussi je crois.
 
Un peu de lecture:
http://www.cisco.com/web/FR/cisco_ [...] VPN_v4.pdf
 
http://fr.wikipedia.org/wiki/R%C3% [...] A9_virtuel


Message édité par akabis le 13-12-2010 à 10:22:15
n°74668
Jab Hounet
¿uıɐƃɐ ʎɐs
Posté le 13-12-2010 à 10:32:02  profilanswer
 

Si c'est bien fait, les personnes ont un accès plus restreint aux ressources du SI via VPN que si elles étaient en interne.

n°74674
Tounet
I love apples
Posté le 13-12-2010 à 11:58:36  profilanswer
 

Exactement.
 
Un vpn ne doit pas être du any to any.
 
Ceci dit, il y a quand meme un risque. Car il est possible de corrompre une machine auquelle le vpn donne accès pour ensuite voir l'ensemble du Lan.
Dans un SI ideal, il faut que les accès donnés se limite à la DMZ. Mais c'est loin d'etre toujours évident.


---------------
Les hommes n'acceptent le changement que dans la nécessité et ils ne voient la nécessité que dans la crise.
n°74688
o'gure
Multi grognon de B_L
Posté le 13-12-2010 à 16:01:55  profilanswer
 

Un VPN est simplement un outils, dire que c'est une brèche simplement en mentionnant le mot clé VPN et calculette et ouverture sur le LAN, c'est n'importe quoi. Mais bon venant de tron20 qui un poil reconnu sur le forum pour ses multi générateurs de topic à troll, ce n'est pas surprenant...

 

Sinon :
Il existe beaucoup de solution de VPN en allant des VPN SSL où toutes les applications accessibles sont webifiés et l'accès est durement gérés aux VPN (IPsec ou même SSL voir autre) de type site à site (même pour les nomades) avec full accès au réseau.

 

Entre les deux il existe de nombreuses solutions pouvant être mixées :
  - mécanisme allant du login / password à la PKI avec certificats des équipements distants, One Time Password (la fameuse calculette)
  - cloisonnement des nomades dans un LAN spécifique avec politiques restreintes d'accès au reste du SI
  - utilisation de reverse proxy ou de serveur pour rebondir vers l'intérieur du SI
  - utilisation de virtualisation (citrix, tse, etc...)
  - test de conformité (vérification de certaines règles sur le poste client : antivirus activé et à jour, firewall, mise à jour de l'OS et des softs, etc...) et forcer l'utilisateur à soigner son PC ou à l'upgrader avant l'autoriser à se connecter au réseau corporate.

 

Bref, c'est vaste, les admins sont souvent mal renseignés car malheureusement la sécurité est souvent vu comme un poste de dépense, de complexité, de contrainte, etc... Pour les petites sociétés, c'est souvent remis à plus tard.

 

Bref (encore), la sécurité doit être vu de bout en bout et de manière cohérente, pas seulement en parlant "VPN et calculette"

Message cité 1 fois
Message édité par o'gure le 13-12-2010 à 16:09:38

---------------
Relax. Take a deep breath !
n°74689
o'gure
Multi grognon de B_L
Posté le 13-12-2010 à 16:06:36  profilanswer
 

Tounet a écrit :

Un vpn ne doit pas être du any to any.


Comme ce que je viens de dire : tout dépend de comment c'est fait, des ressources humaines au niveau de la DSI et la répartition des admins, l'organisation interne.

 

Un grand nombre de VPN aujourd'hui sont any to any de par la nature intrinsèque de la techno utilisée avec toute la sécurité qu'il est nécessaire. Cela apporte une grande flexibilité et permet d'optimiser les flux. Tu peux coller une brique sécurité et filtrage sur les VPN any to any ou avoir recours à des subtilités de la techno pour restreindre un poil le any to any directement dans le VPN.

 

J'ai du mal à comprendre certains postulats de ce type en écartant des solutions/concepts sous prétexte que idéologiquement "ça se fait pas" : tout dépend comment c'est géré de bout en bout, du contexte & co. La sécurité ne doit pas être vu comme contraignante, c'est le meilleur moyen pour que les utilisateurs la contourne.

Message cité 1 fois
Message édité par o'gure le 13-12-2010 à 16:06:56

---------------
Relax. Take a deep breath !
n°74893
tron20
Posté le 17-12-2010 à 23:23:47  profilanswer
 

o'gure a écrit :

Un VPN est simplement un outils, dire que c'est une brèche simplement en mentionnant le mot clé VPN et calculette et ouverture sur le LAN, c'est n'importe quoi. Mais bon venant de tron20 qui un poil reconnu sur le forum pour ses multi générateurs de topic à troll, ce n'est pas surprenant...
 
Sinon :
Il existe beaucoup de solution de VPN en allant des VPN SSL où toutes les applications accessibles sont webifiés et l'accès est durement gérés aux VPN (IPsec ou même SSL voir autre) de type site à site (même pour les nomades) avec full accès au réseau.
 
Entre les deux il existe de nombreuses solutions pouvant être mixées :
  - mécanisme allant du login / password à la PKI avec certificats des équipements distants, One Time Password (la fameuse calculette)
  - cloisonnement des nomades dans un LAN spécifique avec politiques restreintes d'accès au reste du SI
  - utilisation de reverse proxy ou de serveur pour rebondir vers l'intérieur du SI
  - utilisation de virtualisation (citrix, tse, etc...)
  - test de conformité (vérification de certaines règles sur le poste client : antivirus activé et à jour, firewall, mise à jour de l'OS et des softs, etc...) et forcer l'utilisateur à soigner son PC ou à l'upgrader avant l'autoriser à se connecter au réseau corporate.
 
Bref, c'est vaste, les admins sont souvent mal renseignés car malheureusement la sécurité est souvent vu comme un poste de dépense, de complexité, de contrainte, etc... Pour les petites sociétés, c'est souvent remis à plus tard.
 
Bref (encore), la sécurité doit être vu de bout en bout et de manière cohérente, pas seulement en parlant "VPN et calculette"


 
Écoutes je suis peut être multi générateur de ce que tu veux : tu n'apportes aucune réponse à la question , alors la c'est toi le générateur de troll ... merci de passer ton chemin.
Ma réputation n'est peut être pas fumeuse sur les forums : dans le milieu professionnel mes actions sont bien réelles et reconnu (mon cv et mes réalisations sont vérifiables !!!), je ne suis pas qu'un beau parleur et théoricien de forum comme beaucoup, je conçoit et je met en œuvre.


---------------
Asrock conroe 945g-dvi
n°74894
tron20
Posté le 17-12-2010 à 23:26:20  profilanswer
 

Tounet a écrit :

Exactement.
 
Un vpn ne doit pas être du any to any.
 
Ceci dit, il y a quand meme un risque. Car il est possible de corrompre une machine auquelle le vpn donne accès pour ensuite voir l'ensemble du Lan.
Dans un SI ideal, il faut que les accès donnés se limite à la DMZ. Mais c'est loin d'etre toujours évident.


Pas sure.
 
des très gros compte sont en any to any avec des vpn cisco.
 
Mais je discute avec des jusque boutiste en sécu : il paraitrait que la DMz soit remise en cause. Pour eux cela devient un concept dépassé ...


---------------
Asrock conroe 945g-dvi
n°74896
tron20
Posté le 17-12-2010 à 23:30:44  profilanswer
 

o'gure a écrit :


Comme ce que je viens de dire : tout dépend de comment c'est fait, des ressources humaines au niveau de la DSI et la répartition des admins, l'organisation interne.
 
Un grand nombre de VPN aujourd'hui sont any to any de par la nature intrinsèque de la techno utilisée avec toute la sécurité qu'il est nécessaire. Cela apporte une grande flexibilité et permet d'optimiser les flux. Tu peux coller une brique sécurité et filtrage sur les VPN any to any ou avoir recours à des subtilités de la techno pour restreindre un poil le any to any directement dans le VPN.
 
J'ai du mal à comprendre certains postulats de ce type en écartant des solutions/concepts sous prétexte que idéologiquement "ça se fait pas" : tout dépend comment c'est géré de bout en bout, du contexte & co. La sécurité ne doit pas être vu comme contraignante, c'est le meilleur moyen pour que les utilisateurs la contourne.


 
... aujourd'hui on travaille beaucoup plus sur les plans de reprise après sinistre mon cher ...  
on considère même que la DMZ n'a plus lieu d'être : le LAN tout entier est DMZ !
 
visiblement tu focalises sur l'existant, le technique ...
 
Tout est faillible, il faut l'admettre mais cela est surtout dure pour les obtus ou les personnes trop sure d'elles ...


---------------
Asrock conroe 945g-dvi
mood
Publicité
Posté le 17-12-2010 à 23:30:44  profilanswer
 

n°74897
tron20
Posté le 17-12-2010 à 23:46:01  profilanswer
 

o'gure : tu comprendras certaines choses en lisant ce genre de news ...
 
http://www.macbidouille.com/news/2 [...] ns-openbsd
http://www.presence-pc.com/actuali [...] tor=RSS-11
http://www.macgeneration.com/news/ [...] penbsd-maj
 
... j'espère.
 
"Theo de Raadt" prends cela très au sérieux.


Message édité par tron20 le 17-12-2010 à 23:56:03

---------------
Asrock conroe 945g-dvi
n°74903
Je@nb
Modérateur
Kindly give dime
Posté le 18-12-2010 à 00:21:27  profilanswer
 

T'es un troll toi ? :o Dans le genre lourd t'es un bon :/


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Le VPN oui ... mais et la sécurité dans tout çà ?

 

Sujets relatifs
VPN - Accès site webLecteur reseau via VPN
Quel modem/routeur VPN pour PME ?VPN - Nom de Périphérique local déjà utilisé
PROJET VPNVPN ipsec NAT sur netasq
aide a la configution de "openvpn-as"Check Point Secure Client VPN-1 et politique de sécurité
Panorama solutions de sécurité VPN IPNiveau de sécurité d'un VPN Micosoft
Plus de sujets relatifs à : Le VPN oui ... mais et la sécurité dans tout çà ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR