Bonjour,
juste une question théorique:
Est-il possible avec un VPN de ne donner l'accès qu'à un serveur, et d'interdire l'utilisateur qui se connecte sur ce serveur par vpn de communiquer avec le reste du réseau ?
Mon pb vient du fait que lorsque que l'utilisateur est connecté sur le serveur en question il peut faire des requêtes du serveur vers le LAN...
Pour être plus clair, voici un exemple concret:
Un prestataire à un accès vpn vers le serveur de messagerie de mon LAN qu'il infogère. Pour effectuer la telem, il se connecte via une session TSE. Une fois le prestataire connecté sur le serveur de messagerie en TSE il peut envoyer des trames vers mon LAN (normal car le-dit serveur est sur mon lan et pas dans une DMZ)!!
Exist il une solution pour pallier ce pb??
Merci encore!
J'ai essayé d'être le plus clair possible, dites mon si vs m'avez rien compris!!!!
VPN et rebond sur un serveur
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
VPN et rebond sur un serveur
par ROm113 » 14 Juin 2006 16:07
- ROm113
- Matelot
- Messages: 1
- Inscrit le: 14 Juin 2006 15:59
par Methos_Hi » 14 Juin 2006 21:07
Le VPN donne accès à un LAN, qui peut être réduit à une ip.
Une fois en vnc ou tse sur le serveur, les accès depuis le serveur restent les mêmes quelque soit la connexion, comme en console.
Une fois en vnc ou tse sur le serveur, les accès depuis le serveur restent les mêmes quelque soit la connexion, comme en console.
-
Methos_Hi - Amiral
- Messages: 1520
- Inscrit le: 07 Fév 2004 01:00
- Localisation: Ile de France
par jdh » 14 Juin 2006 22:55
Salut Methos_hi,
Tu ne réponds pas tout à fait à la question.
Nous sommes d'accord : un VPN autorise l'accès à un réseau qui peut être réduit à un seul hôte ... avec le masque /32=255.255.255.255.
La question est : une fois atteint cette machine, comment empecher de rebondir à partir de là ? En effet, une fois pris le contrôle d'une machine, la machine peut elle-même avoir accès à bien d'autre machines.
En fait je ne vois pas beaucoup de solutions à ce problème. Je crois qu'il faut donner seulement accès par VPN à des machines situés dans des zones de type orange. Le réseau interne green ne devrait pas être totalement accessibles par une zone orange car ce type de zone est (plus ou moins) accessible depuis Internet.
Je pense que le contrôle des données dans une entreprise passe par des séparations entre PC, serveurs, zone orange, zone VPN, ... même si le débit baissera en conséquence. Il ne faut pas oublier que la majorité des problèmes d'intrusions, d'accès non autorisés, falsification, vol, effacement, ... de données est d'origine interne. Or on a tendance à faire confiance au réseau interne, ce qui est nécessairement une erreur.
Tu ne réponds pas tout à fait à la question.
Nous sommes d'accord : un VPN autorise l'accès à un réseau qui peut être réduit à un seul hôte ... avec le masque /32=255.255.255.255.
La question est : une fois atteint cette machine, comment empecher de rebondir à partir de là ? En effet, une fois pris le contrôle d'une machine, la machine peut elle-même avoir accès à bien d'autre machines.
En fait je ne vois pas beaucoup de solutions à ce problème. Je crois qu'il faut donner seulement accès par VPN à des machines situés dans des zones de type orange. Le réseau interne green ne devrait pas être totalement accessibles par une zone orange car ce type de zone est (plus ou moins) accessible depuis Internet.
Je pense que le contrôle des données dans une entreprise passe par des séparations entre PC, serveurs, zone orange, zone VPN, ... même si le débit baissera en conséquence. Il ne faut pas oublier que la majorité des problèmes d'intrusions, d'accès non autorisés, falsification, vol, effacement, ... de données est d'origine interne. Or on a tendance à faire confiance au réseau interne, ce qui est nécessairement une erreur.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
4 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)