Sécuriser accès extérieur

Sécuriser accès extérieur - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 28-02-2017 à 15:43:27    

Bonjour,
 
par quels moyens sécuriseriez-vous un accès externe vers un serveur sur un LAN ?
 
mes pistes actuelles : VPN vers un serveur RDS en DMZ et non vers le LAN, VPN avec MDP fort, chiffrement fort, client VPN qui check le PC, token.
 
D'autres pistes ?

Reply

Marsh Posté le 28-02-2017 à 15:43:27   

Reply

Marsh Posté le 28-02-2017 à 23:43:47    

Bonjour,
 
Je délocalise au maximum le LAN dans le cloud. Accès sécurisé en https.
 
Pour un accès sur le LAN de l'extérieur, oui le service de Windows. Mais ça dépend si c'est juste pour une personne : TeamViewer.
 
Souvent, je vois sur le routeur un bête forward du port ssh vers le serveur linux local.
 
Bref, il y a plein de façons. Dépend de ce que tu veux accéder sur le LAN, dépend de combien d'accès distants en volume et en simultanés.
 
Si c'est pour les users c'est pour ça que je fais dans le cloud. Télétravail, bosser le soir et we toussa.
 
Sinon, le service d'accès distant de Windows j'aime bien. Y a toujours un Windows sur le LAN. Sécurité correcte (je fais pas dans nucléaire ou les services secrets) et client Bureau à distance facile à installer sur les clients Windows ;)

Reply

Marsh Posté le 01-03-2017 à 10:08:39    

Direct Access pourrait t'intéresser.

Reply

Marsh Posté le 01-03-2017 à 16:00:18    

granta a écrit :

Souvent, je vois sur le routeur un bête forward du port ssh vers le serveur linux local.


Aoutch ... comme on dit, "obscurity is no security" : un scan de port et c'est grillé !
 
Par contre c'est vrai que ca va dépendre des accès et volumes :  
si c'est pour un client lourd, VPN+couche de présentation RDS RemoteApp / Citrix / ...
si c'est pour un transfert de fichier, une DMZ où déposer le fichier et venir de chercher depuis le réseau plus sécurisé
 
En général,  
- tu dois être en mesure d'identifier tes utilisateurs et de les révoquer (donc pas de compte générique),  
- de préférence, identifier les utilisateurs avec au moins 2 facteurs (ce qu'il sait =password/ ce qu'il possède =token/ ce qu'il est =biométrie/ ...)
- les flux doivent être brisés le plus possible (dépôt façon "boite à lettres" : accessible du réseau extérieur et du réseau intérieur, mais pas moyen de passer directement de l'extérieur à l'intérieur / utilisation de bastions)
- les flux doivent être chiffrés et authentifiés (VPN, https, ftps, sftp...)
- si pas de protocole robuste de bout en bout, changer de protocole en cours de route pour que la même faille ne soit pas utilisable pour remonter directement (RDP présenté en HTTPS par RDWeb, reverse-proxy, ...)
- logger les accès et bloquer les excès de tentatives ratées (fail2ban, mécanismes AD, ...)

Reply

Marsh Posté le 01-03-2017 à 22:51:44    

Pour quel usage !?
Pour les acces de presta un compte de service activé a la demande
et Niveau pare feu : règle restrictive ip source identifiée, port(s) dédié(s) et nat derrière  
si t'as de la caillasse admin bastion de wallix

Reply

Marsh Posté le 02-03-2017 à 08:40:55    

bonjour,
pour notre part on utilise le VPN SSL du stormshield
sur une page HTTPS les fournisseurs ont un login avec un mot de passe fort.
ça leur permet apres d'avoir leur redirection de port.
par exemple pour un accés rdp sur un serveur
pour l'adresse ils utiliserons 127.0.0.1:11587
 
 
 


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed