Creation d'acces securise multi sites

Creation d'acces securise multi sites - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 26-06-2006 à 19:02:33    

Bonjour,
 
Voila le probleme : un client a plusieurs sites, relies entre eux en VPN. Sur le site principal, un serveur web. Je sais qu'il y a egalement du mail, mais bon, ca ne va pas rentrer dans l'equation je pense.
Bref, le client veut que seuls les postes sur les sites puissent acceder a l'intranet.  
Quelle serait pour vous la meilleure solution?  
Des certificats?
Je pensais aux adresses Mac, mais vu qu'ils passent certainement par un routeur, ca ne marchera pas.
A premiere vue, pas de serveur proxy sur les sites, ni de reverse sur le principal.
 
Merci de vos idees :)


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
Reply

Marsh Posté le 26-06-2006 à 19:02:33   

Reply

Marsh Posté le 28-06-2006 à 09:22:18    

:bounce:


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
Reply

Marsh Posté le 28-06-2006 à 09:25:15    

bah firewall à l'entrée de la zone serveur, tu filtres sur les subnet des VPN des sites distants [:pingouino]
Pour monter les tunnels VPN, ca dépend de quel type de VPN il s'agit. Moi je te conseilles de l'IPsec + certificat

Reply

Marsh Posté le 28-06-2006 à 13:25:37    

Euuuhhh... Comment filtrer les subnets des sites distants via le firewall sur le site principal? Je ne vois pas trop comment faire...  
 
Site distant Lan ->Routeur->WAN->Routeur->Site principal Lan
Via le VPN deja existant, je ne vois pas comment les adresses Lan peuvent etre recuperees


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
Reply

Marsh Posté le 28-06-2006 à 13:39:35    

en demandant poliement a un admin du site distant le subnet utilisé[:opus dei]
Je suppose que les LAN de chaque site utilisent un subnet "rfc 1918" différent non ?
 


site distant <-> routeur <-> Internet <-> routeur <-> firewall <-> zone serveur
                                                           ^
                                                           |
                                                           v
                                                  Lan site central


 
Cette une architecture logique, le firewall peut se trouver sur le routeur du site central.
Les tunnels vpn se terminent sur les routeurs. Pour le firewall, le vpn c'est invisible. Il ne traitera que le traffic des sites distants et du site central. donc en adressage privé qui est sous la responsabilité des admins des différents sites.
Je suppose que tu peux contacter les admins des différents sites pour connaitre leur adressage. De toute manière pour monter tes vpns tu devra certainement t'assurer qu'il n'y a pas de recouvrement (beaucoup plus simple a gérer sans recouvrement...)


Message édité par l0ky le 28-06-2006 à 13:41:56
Reply

Marsh Posté le 28-06-2006 à 16:08:21    

Y a un truc que je ne comprends pas : imaginons 3 sites distants. En interne, ils sont tous en 10.10.X.X. Comment recuperer les adresses de chaque client connecter sur ces sites, en dhcp qui plus est, pour s'assurer que seules ces adresses pourront avoir acces a l'intranet?
De meme, je me demande comment on peut recuperer ces adresses sachant qu'elles seront passees par le routeur, donc le site central n'aura dans les trames que son adresse source, non??  
Pis via VPN, ca me parait encore moins facile a obtenir...


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
Reply

Marsh Posté le 28-06-2006 à 16:17:48    

Beuuhh. C'est quoi ton Job ?
 
Parce que je sais pas si tu est au courant mais la premiere  
fonctionnalité d'un VPN c'est de ne pas NATé les adresses IP privées.
 
C'est comme ca qu'il faut se representé un reseau avec des VPN:


LAN annexe1 <- routeur -> Internet
      ^
      |  Routeur VPN
      V
LAN site central  <- routeur -> Internet
      ^
      |  Routeur VPN
      V
LAN annexe2 <- routeur -> Internet


Certe le traffic crypté par le routeur VPN va passer sur internet avant d'etre decrypté par la destination
mais c'est fait de manière sécurisée de sorte que tu peut le représenter comme une liaison directe.
 
Si tes trois lan sont en 10.10.x.x bein il suffit de mettre une directive Allow From 10.10.0.0/16 dans le repertoire/vhost correspondant à l'intranet..


Message édité par MaxMaverick le 28-06-2006 à 16:22:15
Reply

Marsh Posté le 28-06-2006 à 17:16:52    

Euuuuh... On peut natter du VPN, hein? Ca s'appelle meme du VPN NAT.
J'ai pas beaucoup d'infos, il est possible que le client utilise cette solution tellement il cherche a securiser l'ensemble.
 
Ah, encore une difficulte supplementaire : il veut que certaines machines puissent avoir acces a certaines parties de l'intranet, genre la DRH d'un site distant a la partie DRH du site central. N'oublions pas que les clients sont en DHCP...
 
Quid des certificats? Qu'en pensez vous?


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
Reply

Marsh Posté le 28-06-2006 à 17:42:04    

c'est pas le VPN qu'on "natte". Natter un VPN ca veut strictement rien dire. Et il y a une profonde différence entre vouloire nater des flux et foutre de la sécurité.

Message cité 1 fois
Message édité par l0ky le 28-06-2006 à 17:42:23
Reply

Marsh Posté le 28-06-2006 à 17:48:11    

De plus quand tu parles de NAT soit précis il existe différents type de NAT. Et tous n'offre pas les même caractéristiques.
 
Ensuite ca me fait bien marrer les prestataires qui viennent demander sur un forum la solution à ce qu'un client veut pour le revendre ensuite...
 
Enfin, si tu penses que ton client fait erreur sur un point (du genre natter les flux qui vont dans ses tunnels), c'est à toi de lui expliquer ce qui est le mieux. Si il insiste tu lui présentes tous les problèmes qu'il peut y avoir, tu lui files un papier, mail... tout ce que tu pourras ressortir en cas de probleme.

Message cité 1 fois
Message édité par l0ky le 28-06-2006 à 17:49:29
Reply

Marsh Posté le 28-06-2006 à 17:48:11   

Reply

Marsh Posté le 28-06-2006 à 17:50:59    

si tu veux une solution de bourrin qui permet de définir ce que telle ou telle personne à le droit d'accéder dans le site centrale, tourne toi vers les vpn ssl.
sinon tu peux au lieu de monter tes tunnels de routeurs a routeurs, tu peux le faire de équipements terminaux (PC) à un concentrateur dans lequel tu indiqueras au cas par cas les politiques de sécu pour les différents profiles.
 
Des solutions efficaces et simple il en existe beaucoup.

Message cité 1 fois
Message édité par l0ky le 28-06-2006 à 17:52:19
Reply

Marsh Posté le 28-06-2006 à 19:31:21    

l0ky a écrit :

c'est pas le VPN qu'on "natte". Natter un VPN ca veut strictement rien dire. Et il y a une profonde différence entre vouloire nater des flux et foutre de la sécurité.


 
je te renvoie ici alors :
http://publib.boulder.ibm.com/iser [...] vpnnat.htm
 

Citation :

Network address translation (NAT) takes your private IP addresses and translates them into public IP addresses. This helps conserve valuable public addresses while at the same time allows hosts in your network to access services and remote hosts across the Internet (or other public network).
 
In addition, if you use private IP addresses, they can collide with similar, incoming IP addresses. For example, you may want to communicate with another network but both networks use 10.*.*.* addresses, causing the addresses to collide and all packets to be dropped. Applying NAT to your outbound addresses would appear to be the answer to this problem. However, if the data traffic is protected by a VPN, conventional NAT will not work because it changes the IP addresses in the security associations (SAs) that VPN requires to function. To avoid this problem, VPN provides its own version of network address translation called VPN NAT. VPN NAT performs address translation before the SA validation by assigning an address to the connection when the connection starts. The address remains associated with the connection until you delete the connection.


 
donc il y a bien la possibilite d'utiliser du VPN et du NAT en meme temps. En tout cas, une solution.
Je ne l'ai jamais fait, donc je ne peux pas en dire plus.

Message cité 1 fois
Message édité par LeKeiser le 28-06-2006 à 19:39:00

---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
Reply

Marsh Posté le 28-06-2006 à 19:34:45    

l0ky a écrit :

De plus quand tu parles de NAT soit précis il existe différents type de NAT. Et tous n'offre pas les même caractéristiques.
 
Ensuite ca me fait bien marrer les prestataires qui viennent demander sur un forum la solution à ce qu'un client veut pour le revendre ensuite...
 
Enfin, si tu penses que ton client fait erreur sur un point (du genre natter les flux qui vont dans ses tunnels), c'est à toi de lui expliquer ce qui est le mieux. Si il insiste tu lui présentes tous les problèmes qu'il peut y avoir, tu lui files un papier, mail... tout ce que tu pourras ressortir en cas de probleme.


 
Tu parles sans savoir, c'est sympa...  
Cette solution n'est pas pour moi, mais pour un ami qui m'a soumis ce probleme. Je n'ai que peu de donnees, et comme je me fais c...r dans ma mission, je me suis dit que je pourrai toujours y reflechir, et demander des solutions, car peut etre que certains forumeurs ont deja eu ce cas et pourraient partager leur(s) solution(s).
Maintenant, si tu souhaites que tous les posts sur ce forum ne servent surtout pas dans les entreprises, alors autant garder uniquement la partie Discussion et Blah Blah, hein? :pfff:
Si solution existe, rassure toi : je ne vais rien gagner...


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
Reply

Marsh Posté le 28-06-2006 à 19:38:14    

l0ky a écrit :

si tu veux une solution de bourrin qui permet de définir ce que telle ou telle personne à le droit d'accéder dans le site centrale, tourne toi vers les vpn ssl.
sinon tu peux au lieu de monter tes tunnels de routeurs a routeurs, tu peux le faire de équipements terminaux (PC) à un concentrateur dans lequel tu indiqueras au cas par cas les politiques de sécu pour les différents profiles.
 
Des solutions efficaces et simple il en existe beaucoup.


 
je n'ai pas le cahier des charges, et mon ami n'arrive pas a en savoir plus pour le moment.
Ce qu'il m'a dit, c'est qu'il y a des sites distants, du VPN, normalement les serveurs tournent sous Linux, et il m'a donne en gros les exigences du client. Je n'ai rien fait sur la config, je ne sais pas trop ce qu'il sera accepte de faire.  
Mais comme je trouve la question interessante, je m'y penche, et je viens ici glaner des infos et des conseils.
Pour l'instant, il semblerait qu'ils penchent plus pour des certificats sur chaque poste, mais bon, va y avoir du dev et la, je ne suis pas cale pour ca.


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
Reply

Marsh Posté le 28-06-2006 à 19:45:49    

LeKeiser a écrit :

je te renvoie ici alors :
http://publib.boulder.ibm.com/iser [...] vpnnat.htm
 
donc il y a bien la possibilite d'utiliser du VPN et du NAT en meme temps. En tout cas, une solution.
Je ne l'ai jamais fait, donc je ne peux pas en dire plus.


 
Je n'ai jamais dit qu'on ne pouvait pas le faire en meme temps. J'ai dit que ce n'était pas le VPN qu'on nattait, mais les flux qui doivent traverser les tunnels ! C'était juste pour corriger ce qu'on pouvait appeler un abus de langage.
 
Comme c'est expliqué, c'est pour pailier aux problèmes de plages d'adresses qui se recouvrent lorsque l'on utilise des VPNs. Ce n'est pas fait pour rajouter de la sécurité. Si le réadressage d'un des réseau n'est pas possible, oui c'est une solution envisageable en faisant un nat de type n->m (le NAT c'est pas toujours du n->1...). Seulement a force d'utiliser ce type de "bidouille" car pour moi ce n'est qu'une bidouille tu vas te retrouver avec un immense sac de noeuds. Ton architecture va se complexifier et va te revenir a beaucoup plus cher en terme de maintenance. Si les réseaux sont en DHCP il plus facile de faire un réadressage des sites.


Message édité par l0ky le 28-06-2006 à 19:51:25
Reply

Marsh Posté le 28-06-2006 à 19:48:02    

LeKeiser a écrit :

Pour l'instant, il semblerait qu'ils penchent plus pour des certificats sur chaque poste, mais bon, va y avoir du dev et la, je ne suis pas cale pour ca.


Si ils veulent identifier chaque personne qui utilisera ce VPN à l'aide de certificat, c'est les postes qui vont etre un des points terminaux des tunnels VPN. c'est possible mais c'est pas du tout le meme genre d'architecture...

Reply

Marsh Posté le 29-06-2006 à 10:13:20    

C'est ce qu'ils semblent vouloir, en effet, et avec cette identification, permettre ou non l'acces a certaines parties de l'intranet...
tout ca avec le vpn entre les sites


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed