Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Danger d'autoriser l'acces lan pendant une connexion vpn

5 réponses
Avatar
nomail
Bonjour / Bonsoir,

J'ai parametré une connexion cliente vpn mais mes utilisateurs
n'arrivent plus à acceder à Internet lorsque la connexion est active.
J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan
pendant la connexion vpn.

Théoriquement, à partir du moment ou le poste ne fait pas routeur, à
priori, il n'y a pas de danger où je me trompe ?

Merci d'avance pour vos réponses

5 réponses

Avatar
Aeris
nomail wrote:

Bonjour / Bonsoir,



Bonsoir,

J'ai parametré une connexion cliente vpn mais mes utilisateurs
n'arrivent plus à acceder à Internet lorsque la connexion est active.



Cela doit être parce que vos clients doivent prendre comme passerelle le
serveur VPN, au lieu de conserver leur passerelle normale (généralement leur
box).
Il suffit de paramétrer correctement les clients (2 cases à cocher sous
Linux ("Ignore automaticcaly obtained routes" et "Use only for resources on
this connection"), sous Windows je ne sais pas)

J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan
pendant la connexion vpn.



Et bien exactement les mêmes dangers que d'avoir son voisin de connecter à
son Wifi ou un PC sur la box.
Tout est 100% accessible depuis le VPN, même les protocoles théoriquement
non routables sur Internet (Samba, Netbios, etc...).
Un client VPN pourrait ainsi accéder à tout poste Windows non sécurisé
(X.X.X.XC$) et voir tout matériel connecté (imprimante, appareil photo,
etc...).
C'est un peu l'objectif du VPN, offrir des accès "locaux" à des postes
distants.

Théoriquement, à partir du moment ou le poste ne fait pas routeur, à
priori, il n'y a pas de danger où je me trompe ?



Cf au-dessus. Même sans routage, un client VPN pourrait avoir des accès
complets au réseau local, plus ou moins comme s'il était branché directement
sur votre box.

Avec routage c'est même encore pire, puisque là les clients se servent du
serveur comme d'un proxy, avec tous les usages connus et méconnus associés
(P2P, Hadopi...).
Car si vous vous posez la question de la sécurité du LAN, c'est que vous ne
devez pas avoir une confiance aveugle en vos clients :)
Avatar
nomail
Bonjour,

Merci pour votre réponse.

En fait, je pense que je me suis mal exprimé quant à la dénomination
du mot client et utilisateurs.

Dans mon cas, les clients vpn sont les boutiques d'un grand groupe qui
leur a mis en place un acces vpn au siege. Je m'occupe de leurs
boutiques. Quand je dis utilisateurs et clients vpn, pour moi, ce sont
les memes. Lorsqu'ils sont connecté au vpn du siege, ils ont acces à
l'intranet, à leur boite exchange mais ils ne peuvent plus aller sur
le net sans passer par le proxy du siege.

C'etait à eux que je faisais allusion. En regardant, effectivement,
j'ai vu qu'il y a avait une case possible à cocher dans les parametres
reseau sauf que d'apres ce que j'ai compris de la doc cisco, le client
vpn cisco ecrase à chaque connexion les parametres par les siens.

J'ai beau decocher la case "allow local lan access" dans le client, il
n'en tient pas compte. J'ai cru comprendre que c'etait parce que cette
autorisation etait fixée par le serveur vpn.

Voila, je ne sais pas si j'ai été assez clair.

Je vous remercie par avance,

On Tue, 23 Nov 2010 01:57:32 +0100, Aeris wrote:

nomail wrote:

Bonjour / Bonsoir,



Bonsoir,

J'ai parametré une connexion cliente vpn mais mes utilisateurs
n'arrivent plus à acceder à Internet lorsque la connexion est active.



Cela doit être parce que vos clients doivent prendre comme passerelle le
serveur VPN, au lieu de conserver leur passerelle normale (généralement leur
box).
Il suffit de paramétrer correctement les clients (2 cases à cocher sous
Linux ("Ignore automaticcaly obtained routes" et "Use only for resources on
this connection"), sous Windows je ne sais pas)

J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan
pendant la connexion vpn.



Et bien exactement les mêmes dangers que d'avoir son voisin de connecter à
son Wifi ou un PC sur la box.
Tout est 100% accessible depuis le VPN, même les protocoles théoriquement
non routables sur Internet (Samba, Netbios, etc...).
Un client VPN pourrait ainsi accéder à tout poste Windows non sécurisé
(X.X.X.XC$) et voir tout matériel connecté (imprimante, appareil photo,
etc...).
C'est un peu l'objectif du VPN, offrir des accès "locaux" à des postes
distants.

Théoriquement, à partir du moment ou le poste ne fait pas routeur, à
priori, il n'y a pas de danger où je me trompe ?



Cf au-dessus. Même sans routage, un client VPN pourrait avoir des accès
complets au réseau local, plus ou moins comme s'il était branché directement
sur votre box.

Avec routage c'est même encore pire, puisque là les clients se servent du
serveur comme d'un proxy, avec tous les usages connus et méconnus associés
(P2P, Hadopi...).
Car si vous vous posez la question de la sécurité du LAN, c'est que vous ne
devez pas avoir une confiance aveugle en vos clients :)
Avatar
Yannix
Le 23/11/2010 10:29, nomail a écrit :
Salut,

Bonjour,

Merci pour votre réponse.

En fait, je pense que je me suis mal exprimé quant à la dénomination
du mot client et utilisateurs.

Dans mon cas, les clients vpn sont les boutiques d'un grand groupe qui
leur a mis en place un acces vpn au siege. Je m'occupe de leurs
boutiques. Quand je dis utilisateurs et clients vpn, pour moi, ce sont
les memes. Lorsqu'ils sont connecté au vpn du siege, ils ont acces à
l'intranet, à leur boite exchange mais ils ne peuvent plus aller sur
le net sans passer par le proxy du siege.



C'est plutôt pas mal comme config de client vpn ! :)
C'est un client cisco vpn sur les clients vpn ? En général, pour cisco,
pour les accès client à l'intranet via du vpn, la config du client est
centralisée sur le serveur.

C'etait à eux que je faisais allusion. En regardant, effectivement,
j'ai vu qu'il y a avait une case possible à cocher dans les parametres
reseau sauf que d'apres ce que j'ai compris de la doc cisco, le client
vpn cisco ecrase à chaque connexion les parametres par les siens.



Logique, c'est le serveur VPN Cisco qui a la main sur les clients.

J'ai beau decocher la case "allow local lan access" dans le client, il
n'en tient pas compte. J'ai cru comprendre que c'etait parce que cette
autorisation etait fixée par le serveur vpn.



Et oui. Faut modifier sur le serveur vpn cisco pour que ça répercute sur
les clients vpn.

->>>> Payer une grosse pizza à l'admin et peut être que ça pourra
s'arranger... :-))))


Voila, je ne sais pas si j'ai été assez clair.



Pour moi, ça va. Je vois de quoi il s'agit. :)

Je vous remercie par avance,



De rien.

A+

X.
Avatar
Yannix
Le 23/11/2010 01:09, nomail a écrit :

Salut,

Bonjour / Bonsoir,

J'ai parametré une connexion cliente vpn mais mes utilisateurs
n'arrivent plus à acceder à Internet lorsque la connexion est active.
J'aimerai savoir quelles seraient les dangers à autoriser l'accès lan
pendant la connexion vpn.



Renvoyer des attaques des clients via le WAN vers le réseau de ton
entreprise ?

Théoriquement, à partir du moment ou le poste ne fait pas routeur, à
priori, il n'y a pas de danger où je me trompe ?



Si accès WAN et VPN, ça peut router dans l'absolu.

X.
Avatar
Stephane Catteau
[x-post fcs/fud l'autre]
nomail devait dire quelque chose comme ceci :

|X-Original-Return-Path:
[snip]
|Message-ID:
[snip]
|X-Usenet-Provider: http://www.giganews.com
|Newsgroups: fr.comp.securite
[snip]
|X-Modappbot: autoposted (v0.4.7.8b)
[snip]
|Path: news.sc4x.com!glou.fr.eu.org!delepine.info!not-for-mail
[snip]
|Date: 23 Nov 2010 00:09:49 GMT

C'est moi, ou leur active est pourri de chez pourri et a deux ans de
retard ?



Fu2 (suivi de la discussion sur le forum) fr.usenet.distribution

--
P'rfg Lnaavk dhv in cnf êger pbagrag :Q