Danger d'autoriser l'acces lan pendant une connexion vpn
5 réponses
nomail
Bonjour / Bonsoir,
J'ai parametré une connexion cliente vpn mais mes utilisateurs
n'arrivent plus à acceder à Internet lorsque la connexion est active.
J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan
pendant la connexion vpn.
Théoriquement, à partir du moment ou le poste ne fait pas routeur, à
priori, il n'y a pas de danger où je me trompe ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Aeris
nomail wrote:
Bonjour / Bonsoir,
Bonsoir,
J'ai parametré une connexion cliente vpn mais mes utilisateurs n'arrivent plus à acceder à Internet lorsque la connexion est active.
Cela doit être parce que vos clients doivent prendre comme passerelle le serveur VPN, au lieu de conserver leur passerelle normale (généralement leur box). Il suffit de paramétrer correctement les clients (2 cases à cocher sous Linux ("Ignore automaticcaly obtained routes" et "Use only for resources on this connection"), sous Windows je ne sais pas)
J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan pendant la connexion vpn.
Et bien exactement les mêmes dangers que d'avoir son voisin de connecter à son Wifi ou un PC sur la box. Tout est 100% accessible depuis le VPN, même les protocoles théoriquement non routables sur Internet (Samba, Netbios, etc...). Un client VPN pourrait ainsi accéder à tout poste Windows non sécurisé (X.X.X.XC$) et voir tout matériel connecté (imprimante, appareil photo, etc...). C'est un peu l'objectif du VPN, offrir des accès "locaux" à des postes distants.
Théoriquement, à partir du moment ou le poste ne fait pas routeur, à priori, il n'y a pas de danger où je me trompe ?
Cf au-dessus. Même sans routage, un client VPN pourrait avoir des accès complets au réseau local, plus ou moins comme s'il était branché directement sur votre box.
Avec routage c'est même encore pire, puisque là les clients se servent du serveur comme d'un proxy, avec tous les usages connus et méconnus associés (P2P, Hadopi...). Car si vous vous posez la question de la sécurité du LAN, c'est que vous ne devez pas avoir une confiance aveugle en vos clients :)
nomail wrote:
Bonjour / Bonsoir,
Bonsoir,
J'ai parametré une connexion cliente vpn mais mes utilisateurs
n'arrivent plus à acceder à Internet lorsque la connexion est active.
Cela doit être parce que vos clients doivent prendre comme passerelle le
serveur VPN, au lieu de conserver leur passerelle normale (généralement leur
box).
Il suffit de paramétrer correctement les clients (2 cases à cocher sous
Linux ("Ignore automaticcaly obtained routes" et "Use only for resources on
this connection"), sous Windows je ne sais pas)
J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan
pendant la connexion vpn.
Et bien exactement les mêmes dangers que d'avoir son voisin de connecter à
son Wifi ou un PC sur la box.
Tout est 100% accessible depuis le VPN, même les protocoles théoriquement
non routables sur Internet (Samba, Netbios, etc...).
Un client VPN pourrait ainsi accéder à tout poste Windows non sécurisé
(\X.X.X.XC$) et voir tout matériel connecté (imprimante, appareil photo,
etc...).
C'est un peu l'objectif du VPN, offrir des accès "locaux" à des postes
distants.
Théoriquement, à partir du moment ou le poste ne fait pas routeur, à
priori, il n'y a pas de danger où je me trompe ?
Cf au-dessus. Même sans routage, un client VPN pourrait avoir des accès
complets au réseau local, plus ou moins comme s'il était branché directement
sur votre box.
Avec routage c'est même encore pire, puisque là les clients se servent du
serveur comme d'un proxy, avec tous les usages connus et méconnus associés
(P2P, Hadopi...).
Car si vous vous posez la question de la sécurité du LAN, c'est que vous ne
devez pas avoir une confiance aveugle en vos clients :)
J'ai parametré une connexion cliente vpn mais mes utilisateurs n'arrivent plus à acceder à Internet lorsque la connexion est active.
Cela doit être parce que vos clients doivent prendre comme passerelle le serveur VPN, au lieu de conserver leur passerelle normale (généralement leur box). Il suffit de paramétrer correctement les clients (2 cases à cocher sous Linux ("Ignore automaticcaly obtained routes" et "Use only for resources on this connection"), sous Windows je ne sais pas)
J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan pendant la connexion vpn.
Et bien exactement les mêmes dangers que d'avoir son voisin de connecter à son Wifi ou un PC sur la box. Tout est 100% accessible depuis le VPN, même les protocoles théoriquement non routables sur Internet (Samba, Netbios, etc...). Un client VPN pourrait ainsi accéder à tout poste Windows non sécurisé (X.X.X.XC$) et voir tout matériel connecté (imprimante, appareil photo, etc...). C'est un peu l'objectif du VPN, offrir des accès "locaux" à des postes distants.
Théoriquement, à partir du moment ou le poste ne fait pas routeur, à priori, il n'y a pas de danger où je me trompe ?
Cf au-dessus. Même sans routage, un client VPN pourrait avoir des accès complets au réseau local, plus ou moins comme s'il était branché directement sur votre box.
Avec routage c'est même encore pire, puisque là les clients se servent du serveur comme d'un proxy, avec tous les usages connus et méconnus associés (P2P, Hadopi...). Car si vous vous posez la question de la sécurité du LAN, c'est que vous ne devez pas avoir une confiance aveugle en vos clients :)
nomail
Bonjour,
Merci pour votre réponse.
En fait, je pense que je me suis mal exprimé quant à la dénomination du mot client et utilisateurs.
Dans mon cas, les clients vpn sont les boutiques d'un grand groupe qui leur a mis en place un acces vpn au siege. Je m'occupe de leurs boutiques. Quand je dis utilisateurs et clients vpn, pour moi, ce sont les memes. Lorsqu'ils sont connecté au vpn du siege, ils ont acces à l'intranet, à leur boite exchange mais ils ne peuvent plus aller sur le net sans passer par le proxy du siege.
C'etait à eux que je faisais allusion. En regardant, effectivement, j'ai vu qu'il y a avait une case possible à cocher dans les parametres reseau sauf que d'apres ce que j'ai compris de la doc cisco, le client vpn cisco ecrase à chaque connexion les parametres par les siens.
J'ai beau decocher la case "allow local lan access" dans le client, il n'en tient pas compte. J'ai cru comprendre que c'etait parce que cette autorisation etait fixée par le serveur vpn.
Voila, je ne sais pas si j'ai été assez clair.
Je vous remercie par avance,
On Tue, 23 Nov 2010 01:57:32 +0100, Aeris wrote:
nomail wrote:
Bonjour / Bonsoir,
Bonsoir,
J'ai parametré une connexion cliente vpn mais mes utilisateurs n'arrivent plus à acceder à Internet lorsque la connexion est active.
Cela doit être parce que vos clients doivent prendre comme passerelle le serveur VPN, au lieu de conserver leur passerelle normale (généralement leur box). Il suffit de paramétrer correctement les clients (2 cases à cocher sous Linux ("Ignore automaticcaly obtained routes" et "Use only for resources on this connection"), sous Windows je ne sais pas)
J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan pendant la connexion vpn.
Et bien exactement les mêmes dangers que d'avoir son voisin de connecter à son Wifi ou un PC sur la box. Tout est 100% accessible depuis le VPN, même les protocoles théoriquement non routables sur Internet (Samba, Netbios, etc...). Un client VPN pourrait ainsi accéder à tout poste Windows non sécurisé (X.X.X.XC$) et voir tout matériel connecté (imprimante, appareil photo, etc...). C'est un peu l'objectif du VPN, offrir des accès "locaux" à des postes distants.
Théoriquement, à partir du moment ou le poste ne fait pas routeur, à priori, il n'y a pas de danger où je me trompe ?
Cf au-dessus. Même sans routage, un client VPN pourrait avoir des accès complets au réseau local, plus ou moins comme s'il était branché directement sur votre box.
Avec routage c'est même encore pire, puisque là les clients se servent du serveur comme d'un proxy, avec tous les usages connus et méconnus associés (P2P, Hadopi...). Car si vous vous posez la question de la sécurité du LAN, c'est que vous ne devez pas avoir une confiance aveugle en vos clients :)
Bonjour,
Merci pour votre réponse.
En fait, je pense que je me suis mal exprimé quant à la dénomination
du mot client et utilisateurs.
Dans mon cas, les clients vpn sont les boutiques d'un grand groupe qui
leur a mis en place un acces vpn au siege. Je m'occupe de leurs
boutiques. Quand je dis utilisateurs et clients vpn, pour moi, ce sont
les memes. Lorsqu'ils sont connecté au vpn du siege, ils ont acces à
l'intranet, à leur boite exchange mais ils ne peuvent plus aller sur
le net sans passer par le proxy du siege.
C'etait à eux que je faisais allusion. En regardant, effectivement,
j'ai vu qu'il y a avait une case possible à cocher dans les parametres
reseau sauf que d'apres ce que j'ai compris de la doc cisco, le client
vpn cisco ecrase à chaque connexion les parametres par les siens.
J'ai beau decocher la case "allow local lan access" dans le client, il
n'en tient pas compte. J'ai cru comprendre que c'etait parce que cette
autorisation etait fixée par le serveur vpn.
Voila, je ne sais pas si j'ai été assez clair.
Je vous remercie par avance,
On Tue, 23 Nov 2010 01:57:32 +0100, Aeris <aeris@imirhil.fr> wrote:
nomail wrote:
Bonjour / Bonsoir,
Bonsoir,
J'ai parametré une connexion cliente vpn mais mes utilisateurs
n'arrivent plus à acceder à Internet lorsque la connexion est active.
Cela doit être parce que vos clients doivent prendre comme passerelle le
serveur VPN, au lieu de conserver leur passerelle normale (généralement leur
box).
Il suffit de paramétrer correctement les clients (2 cases à cocher sous
Linux ("Ignore automaticcaly obtained routes" et "Use only for resources on
this connection"), sous Windows je ne sais pas)
J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan
pendant la connexion vpn.
Et bien exactement les mêmes dangers que d'avoir son voisin de connecter à
son Wifi ou un PC sur la box.
Tout est 100% accessible depuis le VPN, même les protocoles théoriquement
non routables sur Internet (Samba, Netbios, etc...).
Un client VPN pourrait ainsi accéder à tout poste Windows non sécurisé
(\X.X.X.XC$) et voir tout matériel connecté (imprimante, appareil photo,
etc...).
C'est un peu l'objectif du VPN, offrir des accès "locaux" à des postes
distants.
Théoriquement, à partir du moment ou le poste ne fait pas routeur, à
priori, il n'y a pas de danger où je me trompe ?
Cf au-dessus. Même sans routage, un client VPN pourrait avoir des accès
complets au réseau local, plus ou moins comme s'il était branché directement
sur votre box.
Avec routage c'est même encore pire, puisque là les clients se servent du
serveur comme d'un proxy, avec tous les usages connus et méconnus associés
(P2P, Hadopi...).
Car si vous vous posez la question de la sécurité du LAN, c'est que vous ne
devez pas avoir une confiance aveugle en vos clients :)
En fait, je pense que je me suis mal exprimé quant à la dénomination du mot client et utilisateurs.
Dans mon cas, les clients vpn sont les boutiques d'un grand groupe qui leur a mis en place un acces vpn au siege. Je m'occupe de leurs boutiques. Quand je dis utilisateurs et clients vpn, pour moi, ce sont les memes. Lorsqu'ils sont connecté au vpn du siege, ils ont acces à l'intranet, à leur boite exchange mais ils ne peuvent plus aller sur le net sans passer par le proxy du siege.
C'etait à eux que je faisais allusion. En regardant, effectivement, j'ai vu qu'il y a avait une case possible à cocher dans les parametres reseau sauf que d'apres ce que j'ai compris de la doc cisco, le client vpn cisco ecrase à chaque connexion les parametres par les siens.
J'ai beau decocher la case "allow local lan access" dans le client, il n'en tient pas compte. J'ai cru comprendre que c'etait parce que cette autorisation etait fixée par le serveur vpn.
Voila, je ne sais pas si j'ai été assez clair.
Je vous remercie par avance,
On Tue, 23 Nov 2010 01:57:32 +0100, Aeris wrote:
nomail wrote:
Bonjour / Bonsoir,
Bonsoir,
J'ai parametré une connexion cliente vpn mais mes utilisateurs n'arrivent plus à acceder à Internet lorsque la connexion est active.
Cela doit être parce que vos clients doivent prendre comme passerelle le serveur VPN, au lieu de conserver leur passerelle normale (généralement leur box). Il suffit de paramétrer correctement les clients (2 cases à cocher sous Linux ("Ignore automaticcaly obtained routes" et "Use only for resources on this connection"), sous Windows je ne sais pas)
J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan pendant la connexion vpn.
Et bien exactement les mêmes dangers que d'avoir son voisin de connecter à son Wifi ou un PC sur la box. Tout est 100% accessible depuis le VPN, même les protocoles théoriquement non routables sur Internet (Samba, Netbios, etc...). Un client VPN pourrait ainsi accéder à tout poste Windows non sécurisé (X.X.X.XC$) et voir tout matériel connecté (imprimante, appareil photo, etc...). C'est un peu l'objectif du VPN, offrir des accès "locaux" à des postes distants.
Théoriquement, à partir du moment ou le poste ne fait pas routeur, à priori, il n'y a pas de danger où je me trompe ?
Cf au-dessus. Même sans routage, un client VPN pourrait avoir des accès complets au réseau local, plus ou moins comme s'il était branché directement sur votre box.
Avec routage c'est même encore pire, puisque là les clients se servent du serveur comme d'un proxy, avec tous les usages connus et méconnus associés (P2P, Hadopi...). Car si vous vous posez la question de la sécurité du LAN, c'est que vous ne devez pas avoir une confiance aveugle en vos clients :)
Yannix
Le 23/11/2010 10:29, nomail a écrit : Salut,
Bonjour,
Merci pour votre réponse.
En fait, je pense que je me suis mal exprimé quant à la dénomination du mot client et utilisateurs.
Dans mon cas, les clients vpn sont les boutiques d'un grand groupe qui leur a mis en place un acces vpn au siege. Je m'occupe de leurs boutiques. Quand je dis utilisateurs et clients vpn, pour moi, ce sont les memes. Lorsqu'ils sont connecté au vpn du siege, ils ont acces à l'intranet, à leur boite exchange mais ils ne peuvent plus aller sur le net sans passer par le proxy du siege.
C'est plutôt pas mal comme config de client vpn ! :) C'est un client cisco vpn sur les clients vpn ? En général, pour cisco, pour les accès client à l'intranet via du vpn, la config du client est centralisée sur le serveur.
C'etait à eux que je faisais allusion. En regardant, effectivement, j'ai vu qu'il y a avait une case possible à cocher dans les parametres reseau sauf que d'apres ce que j'ai compris de la doc cisco, le client vpn cisco ecrase à chaque connexion les parametres par les siens.
Logique, c'est le serveur VPN Cisco qui a la main sur les clients.
J'ai beau decocher la case "allow local lan access" dans le client, il n'en tient pas compte. J'ai cru comprendre que c'etait parce que cette autorisation etait fixée par le serveur vpn.
Et oui. Faut modifier sur le serveur vpn cisco pour que ça répercute sur les clients vpn.
->>>> Payer une grosse pizza à l'admin et peut être que ça pourra s'arranger... :-))))
Voila, je ne sais pas si j'ai été assez clair.
Pour moi, ça va. Je vois de quoi il s'agit. :)
Je vous remercie par avance,
De rien.
A+
X.
Le 23/11/2010 10:29, nomail a écrit :
Salut,
Bonjour,
Merci pour votre réponse.
En fait, je pense que je me suis mal exprimé quant à la dénomination
du mot client et utilisateurs.
Dans mon cas, les clients vpn sont les boutiques d'un grand groupe qui
leur a mis en place un acces vpn au siege. Je m'occupe de leurs
boutiques. Quand je dis utilisateurs et clients vpn, pour moi, ce sont
les memes. Lorsqu'ils sont connecté au vpn du siege, ils ont acces à
l'intranet, à leur boite exchange mais ils ne peuvent plus aller sur
le net sans passer par le proxy du siege.
C'est plutôt pas mal comme config de client vpn ! :)
C'est un client cisco vpn sur les clients vpn ? En général, pour cisco,
pour les accès client à l'intranet via du vpn, la config du client est
centralisée sur le serveur.
C'etait à eux que je faisais allusion. En regardant, effectivement,
j'ai vu qu'il y a avait une case possible à cocher dans les parametres
reseau sauf que d'apres ce que j'ai compris de la doc cisco, le client
vpn cisco ecrase à chaque connexion les parametres par les siens.
Logique, c'est le serveur VPN Cisco qui a la main sur les clients.
J'ai beau decocher la case "allow local lan access" dans le client, il
n'en tient pas compte. J'ai cru comprendre que c'etait parce que cette
autorisation etait fixée par le serveur vpn.
Et oui. Faut modifier sur le serveur vpn cisco pour que ça répercute sur
les clients vpn.
->>>> Payer une grosse pizza à l'admin et peut être que ça pourra
s'arranger... :-))))
En fait, je pense que je me suis mal exprimé quant à la dénomination du mot client et utilisateurs.
Dans mon cas, les clients vpn sont les boutiques d'un grand groupe qui leur a mis en place un acces vpn au siege. Je m'occupe de leurs boutiques. Quand je dis utilisateurs et clients vpn, pour moi, ce sont les memes. Lorsqu'ils sont connecté au vpn du siege, ils ont acces à l'intranet, à leur boite exchange mais ils ne peuvent plus aller sur le net sans passer par le proxy du siege.
C'est plutôt pas mal comme config de client vpn ! :) C'est un client cisco vpn sur les clients vpn ? En général, pour cisco, pour les accès client à l'intranet via du vpn, la config du client est centralisée sur le serveur.
C'etait à eux que je faisais allusion. En regardant, effectivement, j'ai vu qu'il y a avait une case possible à cocher dans les parametres reseau sauf que d'apres ce que j'ai compris de la doc cisco, le client vpn cisco ecrase à chaque connexion les parametres par les siens.
Logique, c'est le serveur VPN Cisco qui a la main sur les clients.
J'ai beau decocher la case "allow local lan access" dans le client, il n'en tient pas compte. J'ai cru comprendre que c'etait parce que cette autorisation etait fixée par le serveur vpn.
Et oui. Faut modifier sur le serveur vpn cisco pour que ça répercute sur les clients vpn.
->>>> Payer une grosse pizza à l'admin et peut être que ça pourra s'arranger... :-))))
Voila, je ne sais pas si j'ai été assez clair.
Pour moi, ça va. Je vois de quoi il s'agit. :)
Je vous remercie par avance,
De rien.
A+
X.
Yannix
Le 23/11/2010 01:09, nomail a écrit :
Salut,
Bonjour / Bonsoir,
J'ai parametré une connexion cliente vpn mais mes utilisateurs n'arrivent plus à acceder à Internet lorsque la connexion est active. J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan pendant la connexion vpn.
Renvoyer des attaques des clients via le WAN vers le réseau de ton entreprise ?
Théoriquement, à partir du moment ou le poste ne fait pas routeur, à priori, il n'y a pas de danger où je me trompe ?
Si accès WAN et VPN, ça peut router dans l'absolu.
X.
Le 23/11/2010 01:09, nomail a écrit :
Salut,
Bonjour / Bonsoir,
J'ai parametré une connexion cliente vpn mais mes utilisateurs
n'arrivent plus à acceder à Internet lorsque la connexion est active.
J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan
pendant la connexion vpn.
Renvoyer des attaques des clients via le WAN vers le réseau de ton
entreprise ?
Théoriquement, à partir du moment ou le poste ne fait pas routeur, à
priori, il n'y a pas de danger où je me trompe ?
Si accès WAN et VPN, ça peut router dans l'absolu.
J'ai parametré une connexion cliente vpn mais mes utilisateurs n'arrivent plus à acceder à Internet lorsque la connexion est active. J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan pendant la connexion vpn.
Renvoyer des attaques des clients via le WAN vers le réseau de ton entreprise ?
Théoriquement, à partir du moment ou le poste ne fait pas routeur, à priori, il n'y a pas de danger où je me trompe ?
Si accès WAN et VPN, ça peut router dans l'absolu.
X.
Stephane Catteau
[x-post fcs/fud l'autre] nomail devait dire quelque chose comme ceci :