Du point de vue de la sécurité, que pensez-vous de l'utilisation
d'outils tels que Teamviewer, logmein ou ntrconnect au sein d'une
entreprise ?
Si j'en comprends l'intérêt, je trouve inquiétant d'avoir ce genre de
softs autonome sur des machines du réseau, mais qu'en pensez-vous ?
Hormis lister régulièrement les exécutables des postes fournis par les
logiciels d'inventaires, quelle méthode utiliser pour s'en prémunir ?
Peut-être devrais-tu arrêter un instant de jouer et te renseigner sur ce qu'à précédement dit mdnews. Teamviewer, et c'est probablement le cas pour les autres que tu as cité[1], à un fonctionnement pleinement sécurisé.
Certainement, mais si tu lisais les réponses, tu verrais que je n'ai jamais dis le contraire. Le problème n'est pas l'outil mais son utilisation (en douce) dans un cadre qui peut être un peu trop libre, sur des machines appartenant à un réseau local. Nul doute que ces outils sont bien conçus et très pratique, mais je souhaitais avoir des avis ou retours d'expérience sur l'impact positif/négatif que cela pourrait avoir (toujours en rapport au cadre cité au-dessus). Sur ce plan, je n'ai pas appris grand-chose car vous n'avez pas compris ma démarche, mais entre-temps je me suis fait mon idée des ces outils et défini un plan d'action, et c'est là l'essentiel.
Bonne soirée.
Stephane Catteau a écrit :
Peut-être devrais-tu arrêter un instant de jouer et te renseigner sur
ce qu'à précédement dit mdnews. Teamviewer, et c'est probablement le
cas pour les autres que tu as cité[1], à un fonctionnement pleinement
sécurisé.
Certainement, mais si tu lisais les réponses, tu verrais que je n'ai
jamais dis le contraire. Le problème n'est pas l'outil mais son
utilisation (en douce) dans un cadre qui peut être un peu trop libre,
sur des machines appartenant à un réseau local.
Nul doute que ces outils sont bien conçus et très pratique, mais je
souhaitais avoir des avis ou retours d'expérience sur l'impact
positif/négatif que cela pourrait avoir (toujours en rapport au cadre
cité au-dessus). Sur ce plan, je n'ai pas appris grand-chose car vous
n'avez pas compris ma démarche, mais entre-temps je me suis fait mon
idée des ces outils et défini un plan d'action, et c'est là l'essentiel.
Peut-être devrais-tu arrêter un instant de jouer et te renseigner sur ce qu'à précédement dit mdnews. Teamviewer, et c'est probablement le cas pour les autres que tu as cité[1], à un fonctionnement pleinement sécurisé.
Certainement, mais si tu lisais les réponses, tu verrais que je n'ai jamais dis le contraire. Le problème n'est pas l'outil mais son utilisation (en douce) dans un cadre qui peut être un peu trop libre, sur des machines appartenant à un réseau local. Nul doute que ces outils sont bien conçus et très pratique, mais je souhaitais avoir des avis ou retours d'expérience sur l'impact positif/négatif que cela pourrait avoir (toujours en rapport au cadre cité au-dessus). Sur ce plan, je n'ai pas appris grand-chose car vous n'avez pas compris ma démarche, mais entre-temps je me suis fait mon idée des ces outils et défini un plan d'action, et c'est là l'essentiel.
Bonne soirée.
DAPL
mdnews a écrit :
DAPL >
En bloquant ces IP, la machine cible devient inaccessible.
Oui, mais quel est l'intérêt ?
Si on propose différents modes d'accès au réseau validés et sécurisés, ce n'est pas pour voir des utilisateurs accéder à leurs machines de l'extérieur par d'autres moyens... Mais c'est un autre débat qui n'aura pas lieu ici !
De plus, pour bloquer en même les X adresses IP du (des) relais multiplié par les Y (milliers de) ports possibles utilisés, il va falloir du monde.
?? On ne doit pas parler de la même chose. Je parle de bloquer l'accès sortant http(s) aux serveurs relais depuis les machines du réseau, c'est tout.
mdnews a écrit :
DAPL >
En bloquant ces IP, la machine cible devient inaccessible.
Oui, mais quel est l'intérêt ?
Si on propose différents modes d'accès au réseau validés et sécurisés,
ce n'est pas pour voir des utilisateurs accéder à leurs machines de
l'extérieur par d'autres moyens...
Mais c'est un autre débat qui n'aura pas lieu ici !
De plus, pour bloquer en même les X adresses IP du (des) relais
multiplié par les Y (milliers de) ports possibles utilisés, il va
falloir du monde.
?? On ne doit pas parler de la même chose.
Je parle de bloquer l'accès sortant http(s) aux serveurs relais depuis
les machines du réseau, c'est tout.
En bloquant ces IP, la machine cible devient inaccessible.
Oui, mais quel est l'intérêt ?
Si on propose différents modes d'accès au réseau validés et sécurisés, ce n'est pas pour voir des utilisateurs accéder à leurs machines de l'extérieur par d'autres moyens... Mais c'est un autre débat qui n'aura pas lieu ici !
De plus, pour bloquer en même les X adresses IP du (des) relais multiplié par les Y (milliers de) ports possibles utilisés, il va falloir du monde.
?? On ne doit pas parler de la même chose. Je parle de bloquer l'accès sortant http(s) aux serveurs relais depuis les machines du réseau, c'est tout.
Stephane Catteau
DAPL devait dire quelque chose comme ceci :
Peut-être devrais-tu arrêter un instant de jouer et te renseigner sur ce qu'à précédement dit mdnews. Teamviewer, et c'est probablement le cas pour les autres que tu as cité[1], à un fonctionnement pleinement sécurisé.
Certainement, mais si tu lisais les réponses, tu verrais que je n'ai jamais dis le contraire. Le problème n'est pas l'outil mais son utilisation (en douce) dans un cadre qui peut être un peu trop libre, sur des machines appartenant à un réseau local.
Il n'y a que deux intérêts à l'utilisation en douce d'un tel logiciel : 1) Travailler de chez soi, ce qui est tout bénef' pour l'entreprise 2) Pirater le réseau de l'entreprise de chez soi, et là c'est stupide. Il est plus simple de le faire directement du poste de travail, et ce n'est ni plus anonyme, ni plus discrêt[1], de le faire par le biais d'une prise à distance.
La seule chose qui puisse poser problème, c'est une utilisation à l'insue de la personne l'ayant installée. Mais comme il faut la bonne clé RSA pour pouvoir se connecter, c'est un faux problème.
Nul doute que ces outils sont bien conçus et très pratique, mais je souhaitais avoir des avis ou retours d'expérience sur l'impact positif/négatif que cela pourrait avoir (toujours en rapport au cadre cité au-dessus).
Tu as demandé quel était l'impact du point de vue de la sécurité, quelle était l'intérêt et comment s'en prémunir, toutes ces questions ont reçu une réponse.
[1] C'est même au contraire moins discrêt puisque ça laisse des traces sur les machines en bordure du réseau.
DAPL devait dire quelque chose comme ceci :
Peut-être devrais-tu arrêter un instant de jouer et te renseigner sur
ce qu'à précédement dit mdnews. Teamviewer, et c'est probablement le
cas pour les autres que tu as cité[1], à un fonctionnement pleinement
sécurisé.
Certainement, mais si tu lisais les réponses, tu verrais que je n'ai
jamais dis le contraire. Le problème n'est pas l'outil mais son
utilisation (en douce) dans un cadre qui peut être un peu trop libre,
sur des machines appartenant à un réseau local.
Il n'y a que deux intérêts à l'utilisation en douce d'un tel logiciel
:
1) Travailler de chez soi, ce qui est tout bénef' pour l'entreprise
2) Pirater le réseau de l'entreprise de chez soi, et là c'est stupide.
Il est plus simple de le faire directement du poste de travail, et ce
n'est ni plus anonyme, ni plus discrêt[1], de le faire par le biais
d'une prise à distance.
La seule chose qui puisse poser problème, c'est une utilisation à
l'insue de la personne l'ayant installée. Mais comme il faut la bonne
clé RSA pour pouvoir se connecter, c'est un faux problème.
Nul doute que ces outils sont bien conçus et très pratique, mais je
souhaitais avoir des avis ou retours d'expérience sur l'impact
positif/négatif que cela pourrait avoir (toujours en rapport au cadre
cité au-dessus).
Tu as demandé quel était l'impact du point de vue de la sécurité,
quelle était l'intérêt et comment s'en prémunir, toutes ces questions
ont reçu une réponse.
[1]
C'est même au contraire moins discrêt puisque ça laisse des traces sur
les machines en bordure du réseau.
Peut-être devrais-tu arrêter un instant de jouer et te renseigner sur ce qu'à précédement dit mdnews. Teamviewer, et c'est probablement le cas pour les autres que tu as cité[1], à un fonctionnement pleinement sécurisé.
Certainement, mais si tu lisais les réponses, tu verrais que je n'ai jamais dis le contraire. Le problème n'est pas l'outil mais son utilisation (en douce) dans un cadre qui peut être un peu trop libre, sur des machines appartenant à un réseau local.
Il n'y a que deux intérêts à l'utilisation en douce d'un tel logiciel : 1) Travailler de chez soi, ce qui est tout bénef' pour l'entreprise 2) Pirater le réseau de l'entreprise de chez soi, et là c'est stupide. Il est plus simple de le faire directement du poste de travail, et ce n'est ni plus anonyme, ni plus discrêt[1], de le faire par le biais d'une prise à distance.
La seule chose qui puisse poser problème, c'est une utilisation à l'insue de la personne l'ayant installée. Mais comme il faut la bonne clé RSA pour pouvoir se connecter, c'est un faux problème.
Nul doute que ces outils sont bien conçus et très pratique, mais je souhaitais avoir des avis ou retours d'expérience sur l'impact positif/négatif que cela pourrait avoir (toujours en rapport au cadre cité au-dessus).
Tu as demandé quel était l'impact du point de vue de la sécurité, quelle était l'intérêt et comment s'en prémunir, toutes ces questions ont reçu une réponse.
[1] C'est même au contraire moins discrêt puisque ça laisse des traces sur les machines en bordure du réseau.
Stephane Catteau
mdnews n'était pas loin de dire :
De plus, pour bloquer en même les X adresses IP du (des) relais multiplié par les Y (milliers de) ports possibles utilisés, il va falloir du monde.
Tout ça pour le plaisir(?) de bloquer quelques pauvres utilisateurs perdus qui demandent simplement assistance à d'autres, pas sûr que même le plus méchant des crakers adhère à l'idée.
Accessoirement ça focalise l'attention de l'admin sur un faux problème, et le détourne donc des vrais failles qu'utiliseraient les méchants crackers. Une fois la moitié du globe bloqué, pas facile de repérer les vraies alertes avec toutes les lumières rouges qui s'allumeront à chaque instant.
mdnews n'était pas loin de dire :
De plus, pour bloquer en même les X adresses IP du (des) relais
multiplié par les Y (milliers de) ports possibles utilisés, il va
falloir du monde.
Tout ça pour le plaisir(?) de bloquer quelques pauvres utilisateurs
perdus qui demandent simplement assistance à d'autres, pas sûr que
même le plus méchant des crakers adhère à l'idée.
Accessoirement ça focalise l'attention de l'admin sur un faux
problème, et le détourne donc des vrais failles qu'utiliseraient les
méchants crackers. Une fois la moitié du globe bloqué, pas facile de
repérer les vraies alertes avec toutes les lumières rouges qui
s'allumeront à chaque instant.
De plus, pour bloquer en même les X adresses IP du (des) relais multiplié par les Y (milliers de) ports possibles utilisés, il va falloir du monde.
Tout ça pour le plaisir(?) de bloquer quelques pauvres utilisateurs perdus qui demandent simplement assistance à d'autres, pas sûr que même le plus méchant des crakers adhère à l'idée.
Accessoirement ça focalise l'attention de l'admin sur un faux problème, et le détourne donc des vrais failles qu'utiliseraient les méchants crackers. Une fois la moitié du globe bloqué, pas facile de repérer les vraies alertes avec toutes les lumières rouges qui s'allumeront à chaque instant.
Stephane Catteau
DAPL n'était pas loin de dire :
En bloquant ces IP, la machine cible devient inaccessible.
Oui, mais quel est l'intérêt ?
Si on propose différents modes d'accès au réseau validés et sécurisés, ce n'est pas pour voir des utilisateurs accéder à leurs machines de l'extérieur par d'autres moyens...
Si on propose différents modes d'accès réellement validés et sécurisés, les logiciels de prise de contrôle auront énormément de mal à passer[1]. Et s'ils peuvent passer, c'est que l'on souhaite forcer les employés à travailler et non blinder le réseau.
[1] Voir la réponse de Fabien Le Lez à propos des proxies.
DAPL n'était pas loin de dire :
En bloquant ces IP, la machine cible devient inaccessible.
Oui, mais quel est l'intérêt ?
Si on propose différents modes d'accès au réseau validés et sécurisés,
ce n'est pas pour voir des utilisateurs accéder à leurs machines de
l'extérieur par d'autres moyens...
Si on propose différents modes d'accès réellement validés et
sécurisés, les logiciels de prise de contrôle auront énormément de mal
à passer[1]. Et s'ils peuvent passer, c'est que l'on souhaite forcer
les employés à travailler et non blinder le réseau.
[1]
Voir la réponse de Fabien Le Lez à propos des proxies.
En bloquant ces IP, la machine cible devient inaccessible.
Oui, mais quel est l'intérêt ?
Si on propose différents modes d'accès au réseau validés et sécurisés, ce n'est pas pour voir des utilisateurs accéder à leurs machines de l'extérieur par d'autres moyens...
Si on propose différents modes d'accès réellement validés et sécurisés, les logiciels de prise de contrôle auront énormément de mal à passer[1]. Et s'ils peuvent passer, c'est que l'on souhaite forcer les employés à travailler et non blinder le réseau.
[1] Voir la réponse de Fabien Le Lez à propos des proxies.
Ludovic
On 18 Jun 2008 16:09:35 GMT, DAPL wrote:
Du point de vue de la sécurité, que pensez-vous de l'utilisation d'outils tels que Teamviewer, logmein ou ntrconnect au sein d'une entreprise ?
C'est couramment utiliser sur des réseaux sécurisés au plus au niveau, c'est que c'est donc fiable.
Ce genre d'applicatif est indispensable pour la gestion de parcs informatiques dépassant la centaine de poste.
Sinon, au niveau des utilisateurs, on ne les forme pas seulement, on leur fait peser des sanctions telles qu'ils n'ont pas envie de s'amuser à l'apprenti pirate informatique... C'est très efficace.
@+ Ludovic.
On 18 Jun 2008 16:09:35 GMT, DAPL <nospam@free.fr> wrote:
Du point de vue de la sécurité, que pensez-vous de l'utilisation
d'outils tels que Teamviewer, logmein ou ntrconnect au sein d'une
entreprise ?
C'est couramment utiliser sur des réseaux sécurisés au
plus au niveau, c'est que c'est donc fiable.
Ce genre d'applicatif est indispensable pour la gestion
de parcs informatiques dépassant la centaine de poste.
Sinon, au niveau des utilisateurs, on ne les forme
pas seulement, on leur fait peser des sanctions telles
qu'ils n'ont pas envie de s'amuser à l'apprenti pirate
informatique... C'est très efficace.
Du point de vue de la sécurité, que pensez-vous de l'utilisation d'outils tels que Teamviewer, logmein ou ntrconnect au sein d'une entreprise ?
C'est couramment utiliser sur des réseaux sécurisés au plus au niveau, c'est que c'est donc fiable.
Ce genre d'applicatif est indispensable pour la gestion de parcs informatiques dépassant la centaine de poste.
Sinon, au niveau des utilisateurs, on ne les forme pas seulement, on leur fait peser des sanctions telles qu'ils n'ont pas envie de s'amuser à l'apprenti pirate informatique... C'est très efficace.
@+ Ludovic.
DAPL
Stephane Catteau a écrit :
Il n'y a que deux intérêts à l'utilisation en douce d'un tel logiciel : 1) Travailler de chez soi, ce qui est tout bénef' pour l'entreprise 2) Pirater le réseau de l'entreprise de chez soi, et là c'est stupide. Il est plus simple de le faire directement du poste de travail, et ce n'est ni plus anonyme, ni plus discrêt[1], de le faire par le biais d'une prise à distance.
Le minimum pour le gestionnaire du réseau, c'est au moins de savoir quels sont les flux qui y transitent et pourquoi. Surtout si le catalogue de l'entreprise offre déjà des solutions valables pour le télé-travail.
Tu as demandé quel était l'impact du point de vue de la sécurité, quelle était l'intérêt et comment s'en prémunir, toutes ces questions ont reçu une réponse.
Sur les derniers posts uniquement, les autres ressemblant plus à un cours magistral sur lequel je n'avais posé aucune question, puisque j'en connais les principes de base.
Stephane Catteau a écrit :
Il n'y a que deux intérêts à l'utilisation en douce d'un tel logiciel
:
1) Travailler de chez soi, ce qui est tout bénef' pour l'entreprise
2) Pirater le réseau de l'entreprise de chez soi, et là c'est stupide.
Il est plus simple de le faire directement du poste de travail, et ce
n'est ni plus anonyme, ni plus discrêt[1], de le faire par le biais
d'une prise à distance.
Le minimum pour le gestionnaire du réseau, c'est au moins de savoir
quels sont les flux qui y transitent et pourquoi.
Surtout si le catalogue de l'entreprise offre déjà des solutions
valables pour le télé-travail.
Tu as demandé quel était l'impact du point de vue de la sécurité,
quelle était l'intérêt et comment s'en prémunir, toutes ces questions
ont reçu une réponse.
Sur les derniers posts uniquement, les autres ressemblant plus à un
cours magistral sur lequel je n'avais posé aucune question, puisque j'en
connais les principes de base.
Il n'y a que deux intérêts à l'utilisation en douce d'un tel logiciel : 1) Travailler de chez soi, ce qui est tout bénef' pour l'entreprise 2) Pirater le réseau de l'entreprise de chez soi, et là c'est stupide. Il est plus simple de le faire directement du poste de travail, et ce n'est ni plus anonyme, ni plus discrêt[1], de le faire par le biais d'une prise à distance.
Le minimum pour le gestionnaire du réseau, c'est au moins de savoir quels sont les flux qui y transitent et pourquoi. Surtout si le catalogue de l'entreprise offre déjà des solutions valables pour le télé-travail.
Tu as demandé quel était l'impact du point de vue de la sécurité, quelle était l'intérêt et comment s'en prémunir, toutes ces questions ont reçu une réponse.
Sur les derniers posts uniquement, les autres ressemblant plus à un cours magistral sur lequel je n'avais posé aucune question, puisque j'en connais les principes de base.
Fabien LE LEZ
On 19 Jun 2008 17:17:16 GMT, Stephane Catteau :
Il n'y a que deux intérêts à l'utilisation en douce d'un tel logiciel
Dans le cas où l'utilisateur est raisonnable, oui. Mais l'utilisateur peut très bien avoir installé le logiciel sans savoir ce qu'il fait, par le principe du "virus belge".
1) Travailler de chez soi, ce qui est tout bénef' pour l'entreprise 2) Pirater le réseau de l'entreprise de chez soi
Il n'y a pas forcément de différence entre les deux. Si Mme Michu accède à son PC professionnel via son PC personnel rempli à ras-bord de cochonneries diverses, je n'ose même pas imaginer le résultat.
On 19 Jun 2008 17:17:16 GMT, Stephane Catteau <steph.nospam@sc4x.net>:
Il n'y a que deux intérêts à l'utilisation en douce d'un tel logiciel
Dans le cas où l'utilisateur est raisonnable, oui.
Mais l'utilisateur peut très bien avoir installé le logiciel sans
savoir ce qu'il fait, par le principe du "virus belge".
1) Travailler de chez soi, ce qui est tout bénef' pour l'entreprise
2) Pirater le réseau de l'entreprise de chez soi
Il n'y a pas forcément de différence entre les deux. Si Mme Michu
accède à son PC professionnel via son PC personnel rempli à ras-bord
de cochonneries diverses, je n'ose même pas imaginer le résultat.
Il n'y a que deux intérêts à l'utilisation en douce d'un tel logiciel
Dans le cas où l'utilisateur est raisonnable, oui. Mais l'utilisateur peut très bien avoir installé le logiciel sans savoir ce qu'il fait, par le principe du "virus belge".
1) Travailler de chez soi, ce qui est tout bénef' pour l'entreprise 2) Pirater le réseau de l'entreprise de chez soi
Il n'y a pas forcément de différence entre les deux. Si Mme Michu accède à son PC professionnel via son PC personnel rempli à ras-bord de cochonneries diverses, je n'ose même pas imaginer le résultat.
Kevin Denis
Le 19-06-2008, DAPL a écrit :
2- S'il n'y a pas de firewall pour protéger les machines et ne laisser passer que ce que tu as décidé d'autoriser, ben c'est le moment d'en installer.
Il y a bien sûr des équipements de sécurité performants, mais qui ne servent à rien puisque ces softs utilisent les ports HTTP ou HTTPS.
Donc ils ne sont pas performants. Un firewall est capable de différencier un flux HTTP sur le port 80 d'un flux autre (comme du VNC) sur le port 80. Pour l'HTTPS, il existe des équipements qui cassent le flux SSL pour l'analyser (en fait c'est le proxy qui négocie l'échange avec le serveur distant et qui rechiffre en SSL avec un certificat valide vers le client).
Si ton problème est uniquement technique, il existe surement une solution permettant de bloquer ces flux. Ce dont tu disposes à l'heure actuelle ne le permet peut etre pas, donc si tu veux une reponse technique, c'est: change de matériel.
On peut donc se retrouver avec une connexion directe sur des machines, qui sont elle-même sur un LAN.
Oui. Mais dans ton schéma de sécurité, je pense que tu ne fais de toute façon pas une confiance aveugle aux machines situées sur le LAN?
Donc que l'utilisateur soit derrière son clavier dans son bureau, ou bien de l'autre bout de l'internet et pilotant sa machine, quelle différence? Une autre question est: _qui_ a accès aux machines, une fois les mécanismes dont tu parlais mis en place? Car imaginer un utilisateur pilotant sa machine n'a rien a voir avec imaginer une machine du LAN accessible a tous. Bien évidemment, ton cas ajoute des chainages: l'utilisateur chez lui, donc un poste non maitrisé, donc potentiellement compromis, ce qui par boule de neige permet à un tiers de se connecter sur une machine d'entreprise.
Mais l'idée de vérrouiller les machines est évidemment séduisante, si tant est qu'elle soit réaliste.
Et pourquoi pas? -- Kevin
Le 19-06-2008, DAPL <nospam@free.fr> a écrit :
2- S'il n'y a pas de firewall pour protéger les machines et ne
laisser passer que ce que tu as décidé d'autoriser, ben c'est le
moment d'en installer.
Il y a bien sûr des équipements de sécurité performants, mais qui ne
servent à rien puisque ces softs utilisent les ports HTTP ou HTTPS.
Donc ils ne sont pas performants. Un firewall est capable de différencier
un flux HTTP sur le port 80 d'un flux autre (comme du VNC) sur le port 80.
Pour l'HTTPS, il existe des équipements qui cassent le flux SSL pour
l'analyser (en fait c'est le proxy qui négocie l'échange avec le serveur
distant et qui rechiffre en SSL avec un certificat valide vers le client).
Si ton problème est uniquement technique, il existe surement une
solution permettant de bloquer ces flux. Ce dont tu disposes à l'heure
actuelle ne le permet peut etre pas, donc si tu veux une reponse
technique, c'est: change de matériel.
On
peut donc se retrouver avec une connexion directe sur des machines, qui
sont elle-même sur un LAN.
Oui. Mais dans ton schéma de sécurité, je pense que tu ne fais de toute
façon pas une confiance aveugle aux machines situées sur le LAN?
Donc que l'utilisateur soit derrière son clavier dans son bureau, ou
bien de l'autre bout de l'internet et pilotant sa machine, quelle
différence?
Une autre question est: _qui_ a accès aux machines, une fois les
mécanismes dont tu parlais mis en place?
Car imaginer un utilisateur pilotant sa machine n'a rien a voir avec
imaginer une machine du LAN accessible a tous. Bien évidemment, ton cas
ajoute des chainages: l'utilisateur chez lui, donc un poste non maitrisé,
donc potentiellement compromis, ce qui par boule de neige permet à un
tiers de se connecter sur une machine d'entreprise.
Mais l'idée de vérrouiller les machines est évidemment séduisante, si
tant est qu'elle soit réaliste.
2- S'il n'y a pas de firewall pour protéger les machines et ne laisser passer que ce que tu as décidé d'autoriser, ben c'est le moment d'en installer.
Il y a bien sûr des équipements de sécurité performants, mais qui ne servent à rien puisque ces softs utilisent les ports HTTP ou HTTPS.
Donc ils ne sont pas performants. Un firewall est capable de différencier un flux HTTP sur le port 80 d'un flux autre (comme du VNC) sur le port 80. Pour l'HTTPS, il existe des équipements qui cassent le flux SSL pour l'analyser (en fait c'est le proxy qui négocie l'échange avec le serveur distant et qui rechiffre en SSL avec un certificat valide vers le client).
Si ton problème est uniquement technique, il existe surement une solution permettant de bloquer ces flux. Ce dont tu disposes à l'heure actuelle ne le permet peut etre pas, donc si tu veux une reponse technique, c'est: change de matériel.
On peut donc se retrouver avec une connexion directe sur des machines, qui sont elle-même sur un LAN.
Oui. Mais dans ton schéma de sécurité, je pense que tu ne fais de toute façon pas une confiance aveugle aux machines situées sur le LAN?
Donc que l'utilisateur soit derrière son clavier dans son bureau, ou bien de l'autre bout de l'internet et pilotant sa machine, quelle différence? Une autre question est: _qui_ a accès aux machines, une fois les mécanismes dont tu parlais mis en place? Car imaginer un utilisateur pilotant sa machine n'a rien a voir avec imaginer une machine du LAN accessible a tous. Bien évidemment, ton cas ajoute des chainages: l'utilisateur chez lui, donc un poste non maitrisé, donc potentiellement compromis, ce qui par boule de neige permet à un tiers de se connecter sur une machine d'entreprise.
Mais l'idée de vérrouiller les machines est évidemment séduisante, si tant est qu'elle soit réaliste.
Et pourquoi pas? -- Kevin
DAPL
Kevin Denis a écrit :
Pour l'HTTPS, il existe des équipements qui cassent le flux SSL pour l'analyser (en fait c'est le proxy qui négocie l'échange avec le serveur distant et qui rechiffre en SSL avec un certificat valide vers le client).
OK, je vais me renseigner. En attendant, tu as des références de matériel à donner ?
Une autre question est: _qui_ a accès aux machines, une fois les mécanismes dont tu parlais mis en place? Car imaginer un utilisateur pilotant sa machine n'a rien a voir avec imaginer une machine du LAN accessible a tous.
A priori, c'est l'utilisateur qui pilote sa machine a distance. Mais si son login sur le serveur relais est bidon, ça change bcp la donne.
Mais l'idée de vérrouiller les machines est évidemment séduisante, si tant est qu'elle soit réaliste.
Et pourquoi pas?
C'est clair qu'il faut creuser dans cette voie également.
Kevin Denis a écrit :
Pour l'HTTPS, il existe des équipements qui cassent le flux SSL pour
l'analyser (en fait c'est le proxy qui négocie l'échange avec le serveur
distant et qui rechiffre en SSL avec un certificat valide vers le client).
OK, je vais me renseigner.
En attendant, tu as des références de matériel à donner ?
Une autre question est: _qui_ a accès aux machines, une fois les
mécanismes dont tu parlais mis en place?
Car imaginer un utilisateur pilotant sa machine n'a rien a voir avec
imaginer une machine du LAN accessible a tous.
A priori, c'est l'utilisateur qui pilote sa machine a distance.
Mais si son login sur le serveur relais est bidon, ça change bcp la donne.
Mais l'idée de vérrouiller les machines est évidemment séduisante, si
tant est qu'elle soit réaliste.
Et pourquoi pas?
C'est clair qu'il faut creuser dans cette voie également.
Pour l'HTTPS, il existe des équipements qui cassent le flux SSL pour l'analyser (en fait c'est le proxy qui négocie l'échange avec le serveur distant et qui rechiffre en SSL avec un certificat valide vers le client).
OK, je vais me renseigner. En attendant, tu as des références de matériel à donner ?
Une autre question est: _qui_ a accès aux machines, une fois les mécanismes dont tu parlais mis en place? Car imaginer un utilisateur pilotant sa machine n'a rien a voir avec imaginer une machine du LAN accessible a tous.
A priori, c'est l'utilisateur qui pilote sa machine a distance. Mais si son login sur le serveur relais est bidon, ça change bcp la donne.
Mais l'idée de vérrouiller les machines est évidemment séduisante, si tant est qu'elle soit réaliste.
Et pourquoi pas?
C'est clair qu'il faut creuser dans cette voie également.
