VPN et rebond sur un serveur

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

VPN et rebond sur un serveur

Messagepar ROm113 » 14 Juin 2006 16:07

Bonjour,
juste une question théorique:

Est-il possible avec un VPN de ne donner l'accès qu'à un serveur, et d'interdire l'utilisateur qui se connecte sur ce serveur par vpn de communiquer avec le reste du réseau ?
Mon pb vient du fait que lorsque que l'utilisateur est connecté sur le serveur en question il peut faire des requêtes du serveur vers le LAN...

Pour être plus clair, voici un exemple concret:

Un prestataire à un accès vpn vers le serveur de messagerie de mon LAN qu'il infogère. Pour effectuer la telem, il se connecte via une session TSE. Une fois le prestataire connecté sur le serveur de messagerie en TSE il peut envoyer des trames vers mon LAN (normal car le-dit serveur est sur mon lan et pas dans une DMZ)!!

Exist il une solution pour pallier ce pb??

Merci encore!

J'ai essayé d'être le plus clair possible, dites mon si vs m'avez rien compris!!!!
ROm113
Matelot
Matelot
 
Messages: 1
Inscrit le: 14 Juin 2006 15:59

Messagepar Methos_Hi » 14 Juin 2006 21:07

Le VPN donne accès à un LAN, qui peut être réduit à une ip.

Une fois en vnc ou tse sur le serveur, les accès depuis le serveur restent les mêmes quelque soit la connexion, comme en console.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar jdh » 14 Juin 2006 22:55

Salut Methos_hi,

Tu ne réponds pas tout à fait à la question.

Nous sommes d'accord : un VPN autorise l'accès à un réseau qui peut être réduit à un seul hôte ... avec le masque /32=255.255.255.255.

La question est : une fois atteint cette machine, comment empecher de rebondir à partir de là ? En effet, une fois pris le contrôle d'une machine, la machine peut elle-même avoir accès à bien d'autre machines.

En fait je ne vois pas beaucoup de solutions à ce problème. Je crois qu'il faut donner seulement accès par VPN à des machines situés dans des zones de type orange. Le réseau interne green ne devrait pas être totalement accessibles par une zone orange car ce type de zone est (plus ou moins) accessible depuis Internet.

Je pense que le contrôle des données dans une entreprise passe par des séparations entre PC, serveurs, zone orange, zone VPN, ... même si le débit baissera en conséquence. Il ne faut pas oublier que la majorité des problèmes d'intrusions, d'accès non autorisés, falsification, vol, effacement, ... de données est d'origine interne. Or on a tendance à faire confiance au réseau interne, ce qui est nécessairement une erreur.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Methos_Hi » 14 Juin 2006 23:10

je pensais que ma deuxième phrase le faisait ...
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)