Sécurisé travail à distance

Sécurisé travail à distance - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 29-04-2010 à 10:15:37    

Bonjour à la communauté,
 
je m'occupe actuellement du réseau d'une PME. Nous n'avons qu'un site et nos commerciaux nomades n'ont besoin que de leur blackberry...Donc au jour d'aujourd'hui, pas d'accès distant de mis en place (du moins pour les utilisateurs).
Cependant, de plus en plus de personnes émettent à ma direction le souhait de pouvoir travailler à distance. Aujourd'hui je dois donc mettre en place ce type de connexion de manière sécurisée, mais je n'ai aucun vécu/expérience dans ce domaine.
 
Au jour d'aujourd'hui j'ai seulement un serveur TSE auquel je me connecte à distance en RDP pour des tâches d'administration urgente (bof bof niveau sécu). J'ai pour cela simplement une adresse IP publique et mon routeur/firewall mutualisé (Cisco 871) s'occupe de la redirection.
L'idée serait de mettre un accès à ce TSE en place de façon sécurisée. De ce que j'ai pu lire, mon routeur prend en charge l'IPSec qui, de ce qu'on m'a dit, est un protocole assez sécurisé. J'ai donc pensé mettre en place un VPN IPsec pour sécuriser l'échange des données. Par contre je n'ai aucune idée des contraintes techniques à mettre en œuvre que se soit sur le poste client (qui serait chez lui avec une bête machin box) ou du coté routeur/serveur.
 
Sauriez vous me diriger/renseigner ? La question peut paraitre bête, mais on dit qu'il n'y a pas de mal à poser des questions cons pour avancer non ? :pt1cable:  
Si je vous avez besoin de précisions n'hésitez pas à m'en demander. Merci par avance de vos réponses.


Message édité par borgut le 29-04-2010 à 10:17:21
Reply

Marsh Posté le 29-04-2010 à 10:15:37   

Reply

Marsh Posté le 29-04-2010 à 10:20:29    

Il faut que tu aies la bonne version d'IOS dans ton routeur sinon c'est cuit.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 29-04-2010 à 10:32:03    

dreamer18 a écrit :

Il faut que tu aies la bonne version d'IOS dans ton routeur sinon c'est cuit.


Tu pourrais développer ce point ?
Admettons que c'est le cas, je dois mettre quoi en place côté client et côté entreprise ?

Reply

Marsh Posté le 29-04-2010 à 10:36:51    

coté entreprise y a juste de la conf à faire dans le routeur.
 
Coté client il te faut le VPN Client Cisco.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 29-04-2010 à 10:48:13    

dreamer18 a écrit :

Coté client il te faut le VPN Client Cisco.


C'est un logiciel ? Désolé de ma noobitude :)
 
Côté serveur, niveau conf il faut que je stop ma redirection RDP je suppose et que je demande quoi de spécial à mon prestataire ??

Reply

Marsh Posté le 29-04-2010 à 10:56:49    

il faut effectivement un soft sur tous les postes client autorisés à se connecter : un client VPN.
 
Ensuite sur le routeur tu le configures pour faire "serveur VPN" et puis c'est tout :-)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 29-04-2010 à 11:23:49    

C'est ça le probleme typique
Chaque poste doit avoir un soft de VPN  
et aussi doit être configuré.  

Reply

Marsh Posté le 29-04-2010 à 11:33:30    

Oui mais c'est pas bien méchant ça !
Et après je ne sais pas trop comment ça se passe je lance mon soft VPN et je me connecte à quoi ? mon routeur ? ma machine en direct ?
 
Sinon il existe quoi comme solution pour faire un accès distant sécurisé ?

Reply

Marsh Posté le 29-04-2010 à 14:00:49    

Le soft VPN de cisco il coute combien ?
Après je visualise mal, une fois qu'on se connecte au routeur via le client VPN il se passe quoi ? on renseigne quoi dans ce fameux client ?

Reply

Marsh Posté le 30-04-2010 à 08:56:58    

ben je ne connais pas le client cisco mais le principe c'est que tu configures le client vpn pour se connecter sur l'ip publique de ton routeur.
Une fois connecté, tu obtiens une ip privée (tout dépend de ta conf) routée sur ton LAN et tu as donc potentiellement accès a tous les services de ton LAn (là encore tout est configurable, tu peux limiter l'accès à certains services).

Reply

Marsh Posté le 30-04-2010 à 08:56:58   

Reply

Marsh Posté le 30-04-2010 à 09:17:31    

Oui j'ai réussi à trouver une vidéo explicative très bien réalisée.
La limitation d'accès aux services se fait directement par le soft ? le routeur ? ou sur le réseau ?
 
Le VPN pour le travail à distance est la meilleure solution ou il en existe d'autres plus adaptées ?


Message édité par borgut le 30-04-2010 à 09:18:03
Reply

Marsh Posté le 30-04-2010 à 10:15:38    

LE VPN c'est juste la technique d'encapsuler des données d'une trame décryptable uniquement (normalement) par les deux machines (via les certificats), Le protocol lui est variable.
 
Voici un petit lien pour un problème différent mais tu pourrais y trouver des informations intéressantes je crois !
 

Reply

Marsh Posté le 30-04-2010 à 10:27:12    

Reply

Marsh Posté le 30-04-2010 à 14:58:43    

sinon tu as la TS Gateway sur Windows 2008 qui te permet de sécuriser tes flux RDP et t'eviter de faire du VPN.

Reply

Marsh Posté le 30-04-2010 à 15:08:09    

Je n'ai pour le moment qu'un serveur TSE en 2003.
J'aimerais éviter d'exposer mes serveurs sur le net même si c'est une connexion RDP sécurisée (on m'a aussi parlé du L2TP mais cela nécessite aussi d'exposer le une patte du serveur car je n'ai pas de DMZ). De plus, au delà de mes utilisateurs en télétravail, je veux pouvoir m'en servir pour moi et éviter de devoir me déplacer pour rien (même si c'est rare) se serait un confort)
 
De ce que j'ai compris le VPN me permettrait de faire en sorte d'être comme dans mon réseau et donc de pouvoir prendre la main sur mes serveurs en toute sécurité non ?


Message édité par borgut le 30-04-2010 à 16:19:22
Reply

Marsh Posté le 01-05-2010 à 13:44:41    

Oui c'est tout a fait ca.
Regarde du coté du remote vpn server chez cisco.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed