Ajoutons-y un poste "routeur" comprenant un modem ADSL,
un pare-feu et un serveur proxy, et supposons que tout continue
à bien se passer.
La question à résoudre est la suivante : quels moyens a un
nomade, équipé d'un portable avec modem RTC pour se
connecter à ce réseau via l'ADSL ? On peut apporter des
réponses "non sécurisées" (mais en le précisant), et ajouter
"des couches" pour améliorer la sécurité.
Je suppose que si quelques-uns d'entre vous veulent bien
apporter leurs idées ici, il parleront à un moment ou un
autre de VPN.
Merci d'avance.
--
AMIcalement.
Le spam m'a tuer : j'ai mis un "un" à la place du "elle"
dans le domaine de ma signature.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
manu
L'AMI Yves wrote:
La question à résoudre est la suivante : quels moyens a un nomade, équipé d'un portable avec modem RTC pour se connecter à ce réseau via l'ADSL ? On peut apporter des réponses "non sécurisées" (mais en le précisant), et ajouter "des couches" pour améliorer la sécurité.
Je suppose que si quelques-uns d'entre vous veulent bien apporter leurs idées ici, il parleront à un moment ou un autre de VPN.
Mouais... Quelques pistes sur ce que j'ai pu glanner de ci de là, y'a peut être quelques erreurs dans le lot (Si vous en trouvez une, me corrige, merci)
PPP sur SSH. Tunnel en IP seulement. Bien securisé, mais ca n'est pas très convivial à l'emploi. Sorti du monde UNIX, ca risque d'être assez impraticable. Moyen coté performances car on fait deux fois du SSH.
PPTP: fait du tunnelling multi-protocoles (pas limité à IP) s'appuyant sur PPP. Y'un un client dans windows depuis longtemps, quelques logiciels pour l'utiliser sous UNIX. seul probleme, dans ce VPN là c'est la sécurité qui est virtuelle. PPTP était très mal ficelé au depart, MS l'a amélioré, mais il lui reste quelques deficiences.
IPsec: tunnels IP seulement, bonne sécurité. Authentification par secret partagé ou par certificat. Problème: pas d'authentification niveau utilisateur, seulement niveau machine. Dans le cadre d'une utilisation personnelle, ca peut ne pas poser problème.
L2TP: tunnelling multi-protocoles s'appuyant sur PPP, mais ne s'occupe pas vraiment des aspects securitaires. On peut les obtenir en conjugant L2TP sur IPsec. Clients disponibles sur les derniers Windows et sur MacOS X. Le support de L2TP en opensource est assez immature.
La solution qui semble vouloir se répandre, c'est la conjugaison de L2TP et IPsec. Ca n'est pas une solution parfaite.
- si on ne veut que faire de l'IP, le passage par L2TP est d'un interet discutable, il n'apporte rien et consommes des ressources.
- l'abscence d'authentification utilisateur dans IPsec est une plaie pour un déploiement au dela de l'usage personnel. Alors qu'au niveau PPP on va authentifier les usagers sur un login/mot de passe, on va devoir ajouter un mot de passe de machine pour assurer la sécurité au niveau IPsec. Allez expliquer ca aux usagers. Ou alors on déploie une PKI, c'est encore plus lourd.
En fait il suffirait d'un client Windows et MacOS pour faire du PPP sur SSH de façon simple pour l'usager final et je serais assez content (bon à part l'histoire du double TCP, mais bon...), mais je ne crois pas que ca existe.
-- Emmanuel Dreyfus Un bouquin en français sur BSD: http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
La question à résoudre est la suivante : quels moyens a un
nomade, équipé d'un portable avec modem RTC pour se
connecter à ce réseau via l'ADSL ? On peut apporter des
réponses "non sécurisées" (mais en le précisant), et ajouter
"des couches" pour améliorer la sécurité.
Je suppose que si quelques-uns d'entre vous veulent bien
apporter leurs idées ici, il parleront à un moment ou un
autre de VPN.
Mouais... Quelques pistes sur ce que j'ai pu glanner de ci de là, y'a
peut être quelques erreurs dans le lot (Si vous en trouvez une, me
corrige, merci)
PPP sur SSH. Tunnel en IP seulement. Bien securisé, mais ca n'est pas
très convivial à l'emploi. Sorti du monde UNIX, ca risque d'être assez
impraticable. Moyen coté performances car on fait deux fois du SSH.
PPTP: fait du tunnelling multi-protocoles (pas limité à IP) s'appuyant
sur PPP. Y'un un client dans windows depuis longtemps, quelques
logiciels pour l'utiliser sous UNIX. seul probleme, dans ce VPN là c'est
la sécurité qui est virtuelle. PPTP était très mal ficelé au depart, MS
l'a amélioré, mais il lui reste quelques deficiences.
IPsec: tunnels IP seulement, bonne sécurité. Authentification par secret
partagé ou par certificat. Problème: pas d'authentification niveau
utilisateur, seulement niveau machine. Dans le cadre d'une utilisation
personnelle, ca peut ne pas poser problème.
L2TP: tunnelling multi-protocoles s'appuyant sur PPP, mais ne s'occupe
pas vraiment des aspects securitaires. On peut les obtenir en conjugant
L2TP sur IPsec. Clients disponibles sur les derniers Windows et sur
MacOS X. Le support de L2TP en opensource est assez immature.
La solution qui semble vouloir se répandre, c'est la conjugaison de L2TP
et IPsec. Ca n'est pas une solution parfaite.
- si on ne veut que faire de l'IP, le passage par L2TP est d'un interet
discutable, il n'apporte rien et consommes des ressources.
- l'abscence d'authentification utilisateur dans IPsec est une plaie
pour un déploiement au dela de l'usage personnel. Alors qu'au niveau PPP
on va authentifier les usagers sur un login/mot de passe, on va devoir
ajouter un mot de passe de machine pour assurer la sécurité au niveau
IPsec. Allez expliquer ca aux usagers. Ou alors on déploie une PKI,
c'est encore plus lourd.
En fait il suffirait d'un client Windows et MacOS pour faire du PPP sur
SSH de façon simple pour l'usager final et je serais assez content (bon
à part l'histoire du double TCP, mais bon...), mais je ne crois pas que
ca existe.
--
Emmanuel Dreyfus
Un bouquin en français sur BSD:
http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
manu@netbsd.org
La question à résoudre est la suivante : quels moyens a un nomade, équipé d'un portable avec modem RTC pour se connecter à ce réseau via l'ADSL ? On peut apporter des réponses "non sécurisées" (mais en le précisant), et ajouter "des couches" pour améliorer la sécurité.
Je suppose que si quelques-uns d'entre vous veulent bien apporter leurs idées ici, il parleront à un moment ou un autre de VPN.
Mouais... Quelques pistes sur ce que j'ai pu glanner de ci de là, y'a peut être quelques erreurs dans le lot (Si vous en trouvez une, me corrige, merci)
PPP sur SSH. Tunnel en IP seulement. Bien securisé, mais ca n'est pas très convivial à l'emploi. Sorti du monde UNIX, ca risque d'être assez impraticable. Moyen coté performances car on fait deux fois du SSH.
PPTP: fait du tunnelling multi-protocoles (pas limité à IP) s'appuyant sur PPP. Y'un un client dans windows depuis longtemps, quelques logiciels pour l'utiliser sous UNIX. seul probleme, dans ce VPN là c'est la sécurité qui est virtuelle. PPTP était très mal ficelé au depart, MS l'a amélioré, mais il lui reste quelques deficiences.
IPsec: tunnels IP seulement, bonne sécurité. Authentification par secret partagé ou par certificat. Problème: pas d'authentification niveau utilisateur, seulement niveau machine. Dans le cadre d'une utilisation personnelle, ca peut ne pas poser problème.
L2TP: tunnelling multi-protocoles s'appuyant sur PPP, mais ne s'occupe pas vraiment des aspects securitaires. On peut les obtenir en conjugant L2TP sur IPsec. Clients disponibles sur les derniers Windows et sur MacOS X. Le support de L2TP en opensource est assez immature.
La solution qui semble vouloir se répandre, c'est la conjugaison de L2TP et IPsec. Ca n'est pas une solution parfaite.
- si on ne veut que faire de l'IP, le passage par L2TP est d'un interet discutable, il n'apporte rien et consommes des ressources.
- l'abscence d'authentification utilisateur dans IPsec est une plaie pour un déploiement au dela de l'usage personnel. Alors qu'au niveau PPP on va authentifier les usagers sur un login/mot de passe, on va devoir ajouter un mot de passe de machine pour assurer la sécurité au niveau IPsec. Allez expliquer ca aux usagers. Ou alors on déploie une PKI, c'est encore plus lourd.
En fait il suffirait d'un client Windows et MacOS pour faire du PPP sur SSH de façon simple pour l'usager final et je serais assez content (bon à part l'histoire du double TCP, mais bon...), mais je ne crois pas que ca existe.
-- Emmanuel Dreyfus Un bouquin en français sur BSD: http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Antoine Bellot
L'AMI Yves a écrit:
Ajoutons-y un poste "routeur" comprenant un modem ADSL, un pare-feu et un serveur proxy, et supposons que tout continue à bien se passer.
La question à résoudre est la suivante : quels moyens a un nomade, équipé d'un portable avec modem RTC pour se connecter à ce réseau via l'ADSL ? On peut apporter des réponses "non sécurisées" (mais en le précisant), et ajouter "des couches" pour améliorer la sécurité.
Je suppose que si quelques-uns d'entre vous veulent bien apporter leurs idées ici, il parleront à un moment ou un autre de VPN.
Je suppose que vos nomades, comme tous les professionnels qui se respectent, disposent d'ordinateurs portables mettant en oeuvre les fonctionnalités évoluées des derniers fleurons logiciels de la Microsoft Corporation. Je suppose par ailleurs que votre budget global dépasse difficilement trois chiffres en euros (si tel n'est pas le cas, préciser budget et attentes).
Les amateurs de produits venant de fournisseurs réputés apprécieront certainement l'accès par dongle USB genre Rainbow IKey3000 (23-30 E. HT/pièce prix négocié), livré avec le client logiciel Cisco VPN IPSec, (qui, restant logiciel, promettra toujours plus qu'il ne peut tenir). Ce produit reste cependant utilisable avec un IPSec de votre choix à l'autre bout si votre firewall(c) supporte "l'IPSec passthru" comme on dit dans les documents informatifs pour véritables décisionnaires (les petits routeurs/fw DSL/Ethernet plug-and-play vendus en grande surface font ça). L'ensemble réalisé me semble adapté à tenir des enjeux qu'un client Microsoft Windows équipé d'un utilisateur-type peut adresser. Idéalement, l'ensemble s'intègre bien dans une PKI.
Il y a certainement d'autres solutions de ce genre que je ne connais pas.
Quand on peut se contenter de quelque chose de simplement vaguement résistant, les fonctions PPTP, nativement disponibles avec la gamme Microsoft Windows peuvent éventuellement suffire : après tout, nombre de FAIs s'en sont contentés bien longtemps sans trop y perdre.
-- Antoien Bellot : Exploit written in elite language brainfuck takes too much space http://www.attrition.org/security/advisory/gobbles/GOBBLES-15.txt
L'AMI Yves a écrit:
Ajoutons-y un poste "routeur" comprenant un modem ADSL,
un pare-feu et un serveur proxy, et supposons que tout continue
à bien se passer.
La question à résoudre est la suivante : quels moyens a un
nomade, équipé d'un portable avec modem RTC pour se
connecter à ce réseau via l'ADSL ? On peut apporter des
réponses "non sécurisées" (mais en le précisant), et ajouter
"des couches" pour améliorer la sécurité.
Je suppose que si quelques-uns d'entre vous veulent bien
apporter leurs idées ici, il parleront à un moment ou un
autre de VPN.
Je suppose que vos nomades, comme tous les professionnels qui se
respectent, disposent d'ordinateurs portables mettant en oeuvre les
fonctionnalités évoluées des derniers fleurons logiciels de la Microsoft
Corporation. Je suppose par ailleurs que votre budget global dépasse
difficilement trois chiffres en euros (si tel n'est pas le cas, préciser
budget et attentes).
Les amateurs de produits venant de fournisseurs réputés apprécieront
certainement l'accès par dongle USB genre Rainbow IKey3000 (23-30 E.
HT/pièce prix négocié), livré avec le client logiciel Cisco VPN IPSec,
(qui, restant logiciel, promettra toujours plus qu'il ne peut tenir). Ce
produit reste cependant utilisable avec un IPSec de votre choix à
l'autre bout si votre firewall(c) supporte "l'IPSec passthru" comme on
dit dans les documents informatifs pour véritables décisionnaires (les
petits routeurs/fw DSL/Ethernet plug-and-play vendus en grande surface
font ça). L'ensemble réalisé me semble adapté à tenir des enjeux qu'un
client Microsoft Windows équipé d'un utilisateur-type peut adresser.
Idéalement, l'ensemble s'intègre bien dans une PKI.
Il y a certainement d'autres solutions de ce genre que je ne connais pas.
Quand on peut se contenter de quelque chose de simplement vaguement
résistant, les fonctions PPTP, nativement disponibles avec la gamme
Microsoft Windows peuvent éventuellement suffire : après tout, nombre de
FAIs s'en sont contentés bien longtemps sans trop y perdre.
--
Antoien Bellot :
Exploit written in elite language brainfuck takes too much space
http://www.attrition.org/security/advisory/gobbles/GOBBLES-15.txt
Ajoutons-y un poste "routeur" comprenant un modem ADSL, un pare-feu et un serveur proxy, et supposons que tout continue à bien se passer.
La question à résoudre est la suivante : quels moyens a un nomade, équipé d'un portable avec modem RTC pour se connecter à ce réseau via l'ADSL ? On peut apporter des réponses "non sécurisées" (mais en le précisant), et ajouter "des couches" pour améliorer la sécurité.
Je suppose que si quelques-uns d'entre vous veulent bien apporter leurs idées ici, il parleront à un moment ou un autre de VPN.
Je suppose que vos nomades, comme tous les professionnels qui se respectent, disposent d'ordinateurs portables mettant en oeuvre les fonctionnalités évoluées des derniers fleurons logiciels de la Microsoft Corporation. Je suppose par ailleurs que votre budget global dépasse difficilement trois chiffres en euros (si tel n'est pas le cas, préciser budget et attentes).
Les amateurs de produits venant de fournisseurs réputés apprécieront certainement l'accès par dongle USB genre Rainbow IKey3000 (23-30 E. HT/pièce prix négocié), livré avec le client logiciel Cisco VPN IPSec, (qui, restant logiciel, promettra toujours plus qu'il ne peut tenir). Ce produit reste cependant utilisable avec un IPSec de votre choix à l'autre bout si votre firewall(c) supporte "l'IPSec passthru" comme on dit dans les documents informatifs pour véritables décisionnaires (les petits routeurs/fw DSL/Ethernet plug-and-play vendus en grande surface font ça). L'ensemble réalisé me semble adapté à tenir des enjeux qu'un client Microsoft Windows équipé d'un utilisateur-type peut adresser. Idéalement, l'ensemble s'intègre bien dans une PKI.
Il y a certainement d'autres solutions de ce genre que je ne connais pas.
Quand on peut se contenter de quelque chose de simplement vaguement résistant, les fonctions PPTP, nativement disponibles avec la gamme Microsoft Windows peuvent éventuellement suffire : après tout, nombre de FAIs s'en sont contentés bien longtemps sans trop y perdre.
-- Antoien Bellot : Exploit written in elite language brainfuck takes too much space http://www.attrition.org/security/advisory/gobbles/GOBBLES-15.txt
