Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

VPN ou connexion a adresse fixe

2 réponses
Avatar
fbonroy
Bonjour,

une petite societe souhaite permettre a ses employes eloignes
geographiquement du bureau d'acceder au logiciel de
gestion/comptabilite qui tourne sur le reseau local. Ce logiciel existe
sous forme de serveur sur on ordinateur dedie, auquel peuvent se
connecter les versions client du meme logiciel (on indique a chaque
client: le serveur se trouve a l'adresse a.b.c.d.). Le reseau local est
connecte a Internet par un routeur (Thomson Speedtouch 510i) et le tout
possede une adresse IP publique fixe.

Pour ce faire je vois deux solutions. Je les ai essayees toutes les
deux avec succes; le probleme n'est donc pas de savoir "qu'est-ce qui
marcherait", mais "qu'est-ce qui est preferable du point de vue
securite".

1. Creer un VPN entre l'ordinateur de chaque employe et le reseau local
de la societe et indiquer au logiciel client l'adresse locale du
serveur (en l'occurrence 10.0.0.171). Le serveur gere donc les
connexions VPN (le routeur transmet tout ce qui concerne le port 1723
et le protocole GRE a ce serveur, Windows SBS 2003 Standard).

2. Ne pas creer de VPN et indiquer aux logiciels clients l'adresse IP
publique et fixe du reseau. Comme le logiciel de comptabilite utilise
le port 2155, il suffit de configurer le routeur de maniere a ce qu'il
transmette tout ce qui arrive au port 2155 a l'adresse locale
10.0.0.171.

Comme je le disais, les deux fonctionnent. Je trouve la solution 2 plus
pratique parce qu'il n'y pas besoin de VPN par derriere, ce qui rend le
tout moins complexe - et moins de complexite signifie moins de
problemes potentiels.
D'un autre cote, on se retrouverait avec le port 2155 grand ouvert a
tout le monde. Evidemment, le logiciel de comptabilite demande nom
d'utilisateur et mot de passe. Mais reste le risque de failles de
securite eventuelles. Solution theorique: indiquer au routeur quelles
IP ont le droit de se connecter au port 2155. Or il se peut que les
employes se connectent depuis des IP dynamiques. Et les donnees
circuleraient sur Internet en clair.

Avec le VPN on aurait une double protection: les donnees sont cryptees
(je crois), et il faudrait deux etapes d'identification au lieu d'une:
aupres du serveur VPN d'abord puis ensuite aupres du logiciel de
comptabilite. Or avec un VPN n'ouvre-t-on pas son reseau local entier?
Admettons que l'on veuille eviter que les employes distants puissent
acceder aux autres ordinateurs du reseau (qui eux sont sous XP
familiale) ou meme au disque dur du serveur... on pourrait sans doute
instaurer un tas de mecanismes de protection, mais dont souffriraient
ensuite les employes sur place qui eux ont bien le droit d'acceder a
toutes les ressources du reseau local...

Je prefere toujours la solution 2, a condition qu'il soit possible de
la securiser convenablement.

2 réponses

Avatar
Fabien LE LEZ
On 30 Nov 2005 22:25:18 GMT, :

D'un autre cote, on se retrouverait avec le port 2155 grand ouvert a
tout le monde. Evidemment, le logiciel de comptabilite demande nom
d'utilisateur et mot de passe.


Mais, sauf preuve du contraire, il a des trous de sécurité.
D'ailleurs, un logiciel prévu pour fonctionner sur un LAN n'est a
priori pas assez blindé pour être accessible depuis Internet.

Et les donnees circuleraient sur Internet en clair.


Y compris les mots de passe, si ça se trouve.

Or avec un VPN n'ouvre-t-on pas son reseau local entier?


Pas forcément.

Je prefere toujours la solution 2, a condition qu'il soit possible de
la securiser convenablement.


N'est-il pas possible d'utiliser la solution 2 à travers un
tunnel SSH ?

Avatar
VANHULLEBUS Yvan
writes:

Bonjour,

[Acces a un serveur depuis le mechant ternet]


1. Creer un VPN entre l'ordinateur de chaque employe et le reseau local
de la societe et indiquer au logiciel client l'adresse locale du
serveur (en l'occurrence 10.0.0.171). Le serveur gere donc les
connexions VPN (le routeur transmet tout ce qui concerne le port 1723
et le protocole GRE a ce serveur, Windows SBS 2003 Standard).


GRE ? Ca veut donc dire "VPN PPTP". Meme Microsoft est en train de
lacher le PPTP, cause "pas si top que ca cote securite"....


2. Ne pas creer de VPN et indiquer aux logiciels clients l'adresse IP
publique et fixe du reseau. Comme le logiciel de comptabilite utilise
le port 2155, il suffit de configurer le routeur de maniere a ce qu'il
transmette tout ce qui arrive au port 2155 a l'adresse locale
10.0.0.171.


La, ca suppose que le serveur en question est blinde, et que le
protocole est hautement chiffre/authentifie/etc....


Comme je le disais, les deux fonctionnent. Je trouve la solution 2 plus
pratique parce qu'il n'y pas besoin de VPN par derriere, ce qui rend le
tout moins complexe - et moins de complexite signifie moins de
problemes potentiels.


Un attaquant potentiel trouvera aussi surement ca "plus pratique"....


D'un autre cote, on se retrouverait avec le port 2155 grand ouvert a
tout le monde. Evidemment, le logiciel de comptabilite demande nom
d'utilisateur et mot de passe. Mais reste le risque de failles de
securite eventuelles. Solution theorique: indiquer au routeur quelles
IP ont le droit de se connecter au port 2155.


L'authentification par IP source n'est *pas* une solution efficace !!!


Or il se peut que les
employes se connectent depuis des IP dynamiques. Et les donnees
circuleraient sur Internet en clair.


Vraiment pas top, donc....


Avec le VPN on aurait une double protection: les donnees sont cryptees
(je crois), et il faudrait deux etapes d'identification au lieu d'une:
aupres du serveur VPN d'abord puis ensuite aupres du logiciel de
comptabilite.


Yep.

Par contre, oublies PPTP. C'est facile a deployer sous Windows,
certes, mais c'est vraiment moyen....

Aujourd'hui, le seul VPN fiable qu'on puisse recommander, c'est IPSec
avec negociation dynamique de cles (enfin, y'a plus grand monde pour
proposer du IPSec avec SAs statiques, mais vaut mieux preciser...).

Et encore, il faut eviter le mode aggressif/cle prepartagees.

Donc en pratique, dans ton cas, c'est IPSec et IKE (pour les
negociations de cles) avec authentification par certificats.

Or avec un VPN n'ouvre-t-on pas son reseau local entier?


Pas forcement.

D'abord, pour etablir un tunnel VPN, il faut etre capable de
s'authentifier.

Ensuite un bon firewall/VPN sera capable

Admettons que l'on veuille eviter que les employes distants puissent
acceder aux autres ordinateurs du reseau (qui eux sont sous XP
familiale) ou meme au disque dur du serveur... on pourrait sans doute
instaurer un tas de mecanismes de protection, mais dont souffriraient
ensuite les employes sur place qui eux ont bien le droit d'acceder a
toutes les ressources du reseau local...


Non, de bons outils avec une configuration bien faite ne limiteront
que ce qui doit etre limite !!!

Je prefere toujours la solution 2, a condition qu'il soit possible de
la securiser convenablement.


Ca depend du protocole du serveur, mais ca me parait vraiment risque,
vu les infos que j'ai.


A +

VANHU.