Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Sécurité Sécurité

N'autoriser que 2 IP à accéder à un site web

Le
DaVinche
Bonjour,

Le problème serait même plutot :

N'autoriser que deux ordinateurs à accéder à un site "web"

L'accès doit être pour le moment ultra-limité et très sûr, or je pense que
les solutions de filtrage par adresse IP sont contournables, de même que que
les solutions de filtrage par adresse MAC.

Un VPN SSL ? Quel hébergeur proposerait cette solution pour un site tournant
en ASP avec SQL Server ?


Merci de vos réponses, observations, suggestions, questions, réflexions
.



DaVinche
Lire les 11 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #23840821
On Sun, 9 Oct 2011 10:17:56 +0200, "DaVinche"
or je pense que
les solutions de filtrage par adresse IP sont contournables, de même que que
les solutions de filtrage par adresse MAC.



Sur un LAN, on peut effectivement "contrefaire" facilement son adresse
IP et son adresse MAC.

Sur Internet, contrefaire son adresse IP est nettement plus difficile,
du moins en TCP, car il faut que les paquets puissent trouver leur
chemin du serveur vers les clients. Quant au filtrage par adresse MAC,
il n'a pas vraiment de sens : de toute façon, le serveur ne voit que
l'adresse MAC du routeur auquel il est directement connecté.

Un VPN SSL ?



Ça peut être une solution, effectivement.

Quel hébergeur proposerait cette solution pour un site tournant
en ASP avec SQL Server ?



Sous Linux, ce serait trivial : tu prends un serveur dédié (une
Dedibox coûte 15 EUR/mois) ou un VPS, et tu y installes OpenVPN. Bien
sûr, le serveur web ne doit écouter que sur l'interface réseau VPN, et
pas sur les interfaces physiques.
Avec du Microsoft, ça doit être possible aussi (OpenVPN fonctionne
sous Windows), mais faut payer les licences en plus.
Répondre en citant
Nicolas George
Le #23840951
"DaVinche" , dans le message écrit :
Un VPN SSL ?



Faire un VPN avec un protocole de flux est une très mauvaise idée car les
délais de retransmission du protocole de flux sous le VPN et ceux à
l'intérieur du VPN vont interagir de manière catastrophique.
Répondre en citant
Nicolas George
Le #23840941
Fabien LE LEZ , dans le message
du moins en TCP, car il faut que les paquets puissent trouver leur
chemin du serveur vers les clients.



On peut espérer que les opérateurs réseaux sérieux jettent les paquets dont
l'adresse source est clairement incompatible avec l'origine.
Répondre en citant
Stéphane Catteau
Le #23841071
Nicolas George devait dire quelque chose comme ceci :

du moins en TCP, car il faut que les paquets puissent trouver leur
chemin du serveur vers les clients.



On peut espérer que les opérateurs réseaux sérieux jettent les paquets dont
l'adresse source est clairement incompatible avec l'origine.



Ce n'est évidement pas aussi trivial que cela semble l'être sur le
papier, mais il suffit de compromettre le bon routeur pour régler ce
problème. Soit celui en bordure du réseau dont l'on veut usurper une
adresse IP, soit celui en bordure du réseau attaqué. Un petit tunnel
pour faire le lien entre la machine de l'attaquant et le routeur, et
voilà l'adresse IP usurpée et les paquets qui transitent tranquillement
sur le réseau.
Comme l'a dit Fabien Le lez, c'est "nettement plus difficile",
autrement dit ce n'est pas impossible pour autant.

Après c'est comme tout le reste, un juste équilibre entre les risques
encourus, les mesures mises en oeuvre pour les éviter et les mesures à
mettre en oeuvre pour les contourner.
Si l'accès au site doit être ultra-limité parce qu'il s'agit d'une
béta du nouveau concept de la mort qui tue qui va révolutionner le
réseau, un filtrage sur l'adresse IP suffit. Le risque en cas de fuite
est mitigé, les mesures à prendre pour l'éviter assez simple et les
mesures à prendre pour contourner les sécurités demande une réelle
volonté d'y arriver ainsi que de vraiment bonnes compétences.
Par contre, si l'accès au site doit être ultra-limité parce qu'il
s'agit de données hyper méga sensibles, il en va autrement. En effet,
dans ce cas le risque en cas de fuite est très élevé et, *en
comparaison*, les mesures à prendre pour usurper l'adresse IP
deviennent triviales.

--
17/06/1969 - 18/01/2011

Repose en paix mon amour :'(
Répondre en citant
Aéris
Le #23841311
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 09/10/2011 10:17, DaVinche a écrit :
tr�s s�r,


… snip …
un site tournant en ASP avec SQL Server



Y'a des jours comme ça où on rigole bien en lisant les NG =)

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOkZTuAAoJEK8zQvxDY4P9558IALJ2kcOg89roNDjKuOOFsZB+
H1jNQajzDStRUjx6ESQQeSD9uNcSruWXP1jXvmhOXmUHUvVpOxgH+oXC+yAgE3Vq
AVvD66eUXMBP3mmubzVK3tZ7rkgztbpDSfUF0ltdhHjCt5NyDcOSkrZ8an/a9jIU
bosNXmpmLZnADvgDUqyfhJ5qKrz8xaUw6q+h0h7PESG54P8SB903BNHl+zc6/5DS
vRnrNoWsBnYZzgqTsknRZd3ZSoFfoNxd5c7Ckl9CKmN4pLJ6bJ7XfklCtiD0xaWf
CptTIDYpXQUtxT1w/Pv9povyBpN6nzRMcOhBhz5fWSVY0TaHfT/XOkXIMGlx6V8 =dh67
-----END PGP SIGNATURE-----
Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme