VPN avec Firewall Pix 501

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

VPN avec Firewall Pix 501

Messagepar admincdc » 20 Juil 2004 17:50

Salut
Je dosi configurer un tunnel vpn entre des postes itinérants et mes serveurs. Je dispose d'un Firewall Pix501 qui bloque toutes entrer. Je voudrais savoir comment le configurer de facon à autoriser la connexion de certains utilisateurs par exemple avec un client SSH (est ce obligatoire?) ou les outils Windows XP peuvent suffir...?
Merci

CDC
admincdc
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 20 Juil 2004 17:46

Messagepar Boss » 21 Juil 2004 08:08

Bonjour,

Je ne comprend pas trop ton problème en faite, tu veux autoriser la connexion de tes clients sur ton parc distant à travers ton VPN c'est bien ça ?
Mais que veux-tu en terme de flux ? C'est pour du HTTP ? Du terminal server ? Du FTP ? A toi de le définir dans les règles de ton firewall.
Les utilisateurs peuvent se passer d'un client SSH (qui sert à éxécuter des commandes à distance), si tu as windows 2000 et que tu as les licences et bien cela roule tout seul vu que cet OS gère le SSH. (donc il faut ouvrir la plage de port qui t'intéresse)
Encore faut-il un serveur SSH ....
C'est pour cela que ton problème est assez obscure, essaye de mieux redéfinir ton besoin ...
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

VPN avec Firewall Pix 501

Messagepar admincdc » 21 Juil 2004 10:14

En fait j'ai 3 serveur sous Windows 2000 Server (BDD, Fichiers et Exchange), tout cela relié à Internet via un firewall CISCO Pix 501, qui pour l'instant n'authorise que certaines adresses IP en connexion entrante (les IP des autres sites de mon entreprise).
Le pb c'est que les commerciaux doivent se connecter aux serveur exchange depuis un hotel ou leur domicile pour pouvoir recuperer leur mail ou d'autres fichiers sur les différents serveur. Et je ne sias pas quel configuration je dois mettre en place au niveau des clients, des serveur et du firewall?

CDC
admincdc
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 20 Juil 2004 17:46

Messagepar Boss » 21 Juil 2004 10:39

OK, maintenant c'est plus clair,

Par contre avec la configuration que tu nous donnes tu dois avoir des IP publiques (c'est possible avec des dyndns mais c'est pas une solution à mettre en oeuvre avec de serveurs de production).

La solution idéale pour toi et celle qui ne te ferais débourser aucun centimes d'euro (si tu as les licences bien sûr) est de configurer un serveur web IIS.
Je m'explique : avec IIS tu peux activer le module OWA d'exchange qui permettra aux commerciaux de disposer de leur boite mail. En incluant le protocole WEBDAV dans ton serveur tu pourras faire du partage de fichier avec les commerciaux. En faite il se baladeront sur l'architecture de ton serveur en peu à la manière d'un serveur FTP mais en plus sécurisé. Voilà pour les serveurs.

En ce qui concerne le firewall je ne connais pas les numéros de ports à mettre en écoute pour toutes ces aplications mais je suis sûr que une recherche avec google te les donnera.
Après tu seras forcément obligé de libérer la plage d'adreeses IP sur ton firewall car tu ne peux pas prévoir avec quelles adresses se connecteront les commerciaux.

Au niveau du client, IIS est bien sur compatible avec bon nombres de navigateurs mais c'est optimisé pour .... I.E bien sur .....
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

VPN avec Firewall Pix 501

Messagepar admincdc » 21 Juil 2004 11:23

Je te remercie pour ses précieux renseignements.
admincdc
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 20 Juil 2004 17:46

Messagepar Boss » 21 Juil 2004 11:27

Mais de rien,

C'est une solution comme les autres, qui a ses avantages mais aussi ses inconvenients. (notamment en terme de charge surs les serveurs mais aussi de sécurité surtout avec IIS 5.0)

En tout cas bon courage car ça va te demander pas mal de réflexion et de prise de tête.

Voila
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

vpn ?

Messagepar alexfozzy » 22 Juil 2004 01:54

Salut,

tu parles bien d'un Cisco PIX 501.

c'est un firewall / VPN (10/50/Unlimited, en fonction du modele).

Pourquoi tu ne crée pas de regles vpn pour tes itinérants (roadwarrior dans le jargon habituel).

Tu crée les rules/policies necessaires sur ton PIX 501 et tu deploies les softs clients sur les pc des commerciaux.

L'avantage, tes commerciaux se retrouvent sur le reseau local de la société, pas besoin d'interface web / applicatif supplementaire... aucune formation (automatisation pour le client vpn).

ils lancent leur "Outlook" et check leur mail. idem pour les autres applis...

Inconvenients : il te faut assez de "tuyaux" dispo sur son PIX501, et deployer les soft clients (payant ou pas).


Alex
---
m0n0wall + Soekris 4801 = ca dechire !!!
SME6 sur eth2 en dmzzzzz....
---
GO !
/server irc.fr.ircnet.net /join #ixus

Fort heureusement, chaque réussite est l'échec d'autre chose. J. Prevert.
Avatar de l’utilisateur
alexfozzy
Second Maître
Second Maître
 
Messages: 35
Inscrit le: 22 Juin 2003 00:00
Localisation: toulouse/foix

Messagepar Boss » 22 Juil 2004 07:44

Pourquoi tu ne crée pas de regles vpn pour tes itinérants (roadwarrior dans le jargon habituel).


Le problème des VPN c'est que l'utilisateur dans son hôtel ne bénéficit pas toujours d'une connexion à haut débit. Je ne sais pas si tu as déjà essayé de te connecter à un serveur 2000 puis à une serveu exchange en 56 K, je peux t'assurer que c'est la galère ! L'avantage du client léger et bien c'est qu'il est léger ! En interface Web OWA reste quand même assez peu gourmand en ressources. Pareil pour Webdav.

Autre problème du roadwarrior, si le commercial se fait voler son portable, on a carrément accès au réseau de l'entreprise (ou du moins si c'est bien fait qu'a la DMZ), et je ne reviens pas sur les autres problèmes de sécurité d'un VPN. (cryptage 128 bits en 56 K :mrgreen: )

Après ta solution reste la meileure si on veut réaliser quelque chose de simple à configurer, tout dépand de l'importance des données.

Voilà
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

nein

Messagepar r.andriam » 01 Sep 2004 00:15

il existe de client léger VPN cisco.
En 56 k, le tranfert de données POP 3 d'exchange vers ton Pc sera plus rapide qu'une interface graphique sur le port 80.

Si la personne se fait voler, il faut notre qu'une connection VPN client s'accopmagne toujours d'une Login / passord


A +
r.andriam
Matelot
Matelot
 
Messages: 5
Inscrit le: 24 Août 2004 17:48


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)