[VPN SSL] SSL Explorer utilisation professionnel ?
3 réponses
Splite
Bonjour
Je viens de découvrir l'application serveur SSL Explorer. Elle permet de
créer un serveur VPN basé sur le protocole SSL.
Grâce à des applet JAVA directement accessible via un navigateur web il
est possible de lancer des programmes tels que VNC, RDP, accéder à des
partages réseaux, etc.
Voici la version gratuite sous licence GPL :
http://3sp.com/showSslExplorer.do
et la version avancée payante : http://3sp.com/showSslExplorerXtra.do
Voilà pour la petite description de cette application, je pense que ça
pourra en intéresser plus d'un !
Je m'adresse maintenant à ceux qui aurait eut l'occasion de tester ce
serveur VPN SSL ou tout autres applications similaires.
Tout d'abord que pensez vous du niveau de sécurité de ce genre
d'applications ? sachant qu'elle est basée sur un cryptage SSL.
Il existe plusieurs mode d'authentification, par mot de passe, par
certificat commun à tous les clients ou par certificat individuel pour
chaque client.
Pensez vous qu'il serez possible d'utiliser ce serveur pour une
application professionnel ?
Je tiens à rajouter que pour le moment je n'est trouver aucune
fonctionnalité qui permettrai de garantir la sécurité du PC client
(virus, keylogger, etc.), ceci dans le but d'éviter toute attaque sur le
réseau de l'entreprise depuis un PC client.
D'avance merci pour toutes les précisions que vous pourrez apporter !
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Bruno Bonfils
Splite writes:
Je m'adresse maintenant à ceux qui aurait eut l'occasion de tester ce serveur VPN SSL ou tout autres applications similaires.
J'utilise le WebVPN de cisco qui ressemble à ca (j'avoue que je ne me suis pas trop fatigué à regarder en détail)
Tout d'abord que pensez vous du niveau de sécurité de ce genre d'applications ? sachant qu'elle est basée sur un cryptage SSL.
Je dirais que tout dépend de l'implémentation et des algos / tailles de clée
Il existe plusieurs mode d'authentification, par mot de passe, par certificat commun à tous les clients ou par certificat individuel pour chaque client. Pensez vous qu'il serez possible d'utiliser ce serveur pour une application professionnel ?
Pourquoi ca ne le serait pas ? Le seul point que je vois c'est le travail que ca peut demander a l'entreprise pour gérer les certificats. Est ce que tu as vérifier si le serveur gérait les CRL ? (dans le cas d'une authentification par certificat unique par utilisateur, l'auth par certif commun me parait être une très mauvaise idée) Si non ca peut être problématique...
Je tiens à rajouter que pour le moment je n'est trouver aucune fonctionnalité qui permettrai de garantir la sécurité du PC client (virus, keylogger, etc.), ceci dans le but d'éviter toute attaque sur le réseau de l'entreprise depuis un PC client.
Je vois pas en quoi c'est à un soft VPN de faire ca. C'est pas parce que tu fais du VPN "secure" que tu ne dois pas faire de filtrage et toute autre procédure de vérification. De toute façon je pense que s'il existait un moyen fiable de contrôler les machines clientes, ca se saurait (je ne vois pas comment tu peux détecter un keylogger hardware par exemple)
-- http://asyd.net/home/ - Home Page http://guses.org/home/ - French Speaking Solaris User Group
Splite <splite@laposte.net> writes:
Je m'adresse maintenant à ceux qui aurait eut l'occasion de tester ce
serveur VPN SSL ou tout autres applications similaires.
J'utilise le WebVPN de cisco qui ressemble à ca (j'avoue que je ne me
suis pas trop fatigué à regarder en détail)
Tout d'abord que pensez vous du niveau de sécurité de ce genre
d'applications ? sachant qu'elle est basée sur un cryptage SSL.
Je dirais que tout dépend de l'implémentation et des algos / tailles
de clée
Il existe plusieurs mode d'authentification, par mot de passe, par
certificat commun à tous les clients ou par certificat individuel pour
chaque client.
Pensez vous qu'il serez possible d'utiliser ce serveur pour une
application professionnel ?
Pourquoi ca ne le serait pas ? Le seul point que je vois c'est le
travail que ca peut demander a l'entreprise pour gérer les
certificats. Est ce que tu as vérifier si le serveur gérait les CRL ?
(dans le cas d'une authentification par certificat unique par
utilisateur, l'auth par certif commun me parait être une très mauvaise
idée) Si non ca peut être problématique...
Je tiens à rajouter que pour le moment je n'est trouver aucune
fonctionnalité qui permettrai de garantir la sécurité du PC client
(virus, keylogger, etc.), ceci dans le but d'éviter toute attaque sur le
réseau de l'entreprise depuis un PC client.
Je vois pas en quoi c'est à un soft VPN de faire ca. C'est pas parce
que tu fais du VPN "secure" que tu ne dois pas faire de filtrage et
toute autre procédure de vérification. De toute façon je pense que
s'il existait un moyen fiable de contrôler les machines clientes, ca
se saurait (je ne vois pas comment tu peux détecter un keylogger
hardware par exemple)
--
http://asyd.net/home/ - Home Page
http://guses.org/home/ - French Speaking Solaris User Group
Je m'adresse maintenant à ceux qui aurait eut l'occasion de tester ce serveur VPN SSL ou tout autres applications similaires.
J'utilise le WebVPN de cisco qui ressemble à ca (j'avoue que je ne me suis pas trop fatigué à regarder en détail)
Tout d'abord que pensez vous du niveau de sécurité de ce genre d'applications ? sachant qu'elle est basée sur un cryptage SSL.
Je dirais que tout dépend de l'implémentation et des algos / tailles de clée
Il existe plusieurs mode d'authentification, par mot de passe, par certificat commun à tous les clients ou par certificat individuel pour chaque client. Pensez vous qu'il serez possible d'utiliser ce serveur pour une application professionnel ?
Pourquoi ca ne le serait pas ? Le seul point que je vois c'est le travail que ca peut demander a l'entreprise pour gérer les certificats. Est ce que tu as vérifier si le serveur gérait les CRL ? (dans le cas d'une authentification par certificat unique par utilisateur, l'auth par certif commun me parait être une très mauvaise idée) Si non ca peut être problématique...
Je tiens à rajouter que pour le moment je n'est trouver aucune fonctionnalité qui permettrai de garantir la sécurité du PC client (virus, keylogger, etc.), ceci dans le but d'éviter toute attaque sur le réseau de l'entreprise depuis un PC client.
Je vois pas en quoi c'est à un soft VPN de faire ca. C'est pas parce que tu fais du VPN "secure" que tu ne dois pas faire de filtrage et toute autre procédure de vérification. De toute façon je pense que s'il existait un moyen fiable de contrôler les machines clientes, ca se saurait (je ne vois pas comment tu peux détecter un keylogger hardware par exemple)
-- http://asyd.net/home/ - Home Page http://guses.org/home/ - French Speaking Solaris User Group
Splite
Splite writes:
Je m'adresse maintenant à ceux qui aurait eut l'occasion de tester ce serveur VPN SSL ou tout autres applications similaires.
J'utilise le WebVPN de cisco qui ressemble à ca (j'avoue que je ne me suis pas trop fatigué à regarder en détail)
Tout d'abord que pensez vous du niveau de sécurité de ce genre d'applications ? sachant qu'elle est basée sur un cryptage SSL.
Je dirais que tout dépend de l'implémentation et des algos / tailles de clée
Il existe plusieurs mode d'authentification, par mot de passe, par certificat commun à tous les clients ou par certificat individuel pour chaque client. Pensez vous qu'il serez possible d'utiliser ce serveur pour une application professionnel ?
Pourquoi ca ne le serait pas ? Le seul point que je vois c'est le travail que ca peut demander a l'entreprise pour gérer les certificats. Est ce que tu as vérifier si le serveur gérait les CRL ? (dans le cas d'une authentification par certificat unique par utilisateur, l'auth par certif commun me parait être une très mauvaise idée) Si non ca peut être problématique...
Oui, je pense aussi que si cette application est destinée à être
utilisé par un bon nombre de personne, l'idée du certificat n'est pas la meilleure. De toute manière cette application gère plusieurs sortes d'authentification, je pense que la plus simple à retenir et celle par login/mot de passe. Par contre je ne vois pas c'est que sont les CRL ?
Je tiens à rajouter que pour le moment je n'est trouver aucune fonctionnalité qui permettrai de garantir la sécurité du PC client (virus, keylogger, etc.), ceci dans le but d'éviter toute attaque sur le réseau de l'entreprise depuis un PC client.
Je vois pas en quoi c'est à un soft VPN de faire ca. C'est pas parce que tu fais du VPN "secure" que tu ne dois pas faire de filtrage et toute autre procédure de vérification. De toute façon je pense que s'il existait un moyen fiable de contrôler les machines clientes, ca se saurait (je ne vois pas comment tu peux détecter un keylogger hardware par exemple)
Ben en faite le problème qui se pose ici, c'est que c'est du VPN SSL.
C'est un portail qui est accessible depuis n'importe quel page web, donc n'importe quel PC (domicile, cybercafé, etc.) Vue que l'on ne déploie pas de client comme dans un VPN IPSec, on ne sait pas du tout sur quelle machine on peut tomber. Je me demandais donc si il n'y avait pas des sortes de plugin qui permettrai de faire un scan antivirus du PC, etc.
Par contre, c'est sûr que du côté de l'intranet il faudra faire du filtrage, mais je ne sais pas trop comment faire pour contrôler tout ça ? Passerelle antiviral, paramétrage du firewall, etc.
Néanmoins, pensez vous que seul le filtrage et la vérification du côté intranet puisse garantir une assez bonne sécurité pour le réseau de l'entreprise ?
Splite <splite@laposte.net> writes:
Je m'adresse maintenant à ceux qui aurait eut l'occasion de tester ce
serveur VPN SSL ou tout autres applications similaires.
J'utilise le WebVPN de cisco qui ressemble à ca (j'avoue que je ne me
suis pas trop fatigué à regarder en détail)
Tout d'abord que pensez vous du niveau de sécurité de ce genre
d'applications ? sachant qu'elle est basée sur un cryptage SSL.
Je dirais que tout dépend de l'implémentation et des algos / tailles
de clée
Il existe plusieurs mode d'authentification, par mot de passe, par
certificat commun à tous les clients ou par certificat individuel pour
chaque client.
Pensez vous qu'il serez possible d'utiliser ce serveur pour une
application professionnel ?
Pourquoi ca ne le serait pas ? Le seul point que je vois c'est le
travail que ca peut demander a l'entreprise pour gérer les
certificats. Est ce que tu as vérifier si le serveur gérait les CRL ?
(dans le cas d'une authentification par certificat unique par
utilisateur, l'auth par certif commun me parait être une très mauvaise
idée) Si non ca peut être problématique...
Oui, je pense aussi que si cette application est destinée à être
utilisé par un bon nombre de personne, l'idée du certificat n'est pas la
meilleure. De toute manière cette application gère plusieurs sortes
d'authentification, je pense que la plus simple à retenir et celle par
login/mot de passe. Par contre je ne vois pas c'est que sont les CRL ?
Je tiens à rajouter que pour le moment je n'est trouver aucune
fonctionnalité qui permettrai de garantir la sécurité du PC client
(virus, keylogger, etc.), ceci dans le but d'éviter toute attaque sur le
réseau de l'entreprise depuis un PC client.
Je vois pas en quoi c'est à un soft VPN de faire ca. C'est pas parce
que tu fais du VPN "secure" que tu ne dois pas faire de filtrage et
toute autre procédure de vérification. De toute façon je pense que
s'il existait un moyen fiable de contrôler les machines clientes, ca
se saurait (je ne vois pas comment tu peux détecter un keylogger
hardware par exemple)
Ben en faite le problème qui se pose ici, c'est que c'est du VPN SSL.
C'est un portail qui est accessible depuis n'importe quel page web, donc
n'importe quel PC (domicile, cybercafé, etc.) Vue que l'on ne déploie
pas de client comme dans un VPN IPSec, on ne sait pas du tout sur quelle
machine on peut tomber. Je me demandais donc si il n'y avait pas des
sortes de plugin qui permettrai de faire un scan antivirus du PC, etc.
Par contre, c'est sûr que du côté de l'intranet il faudra faire du
filtrage, mais je ne sais pas trop comment faire pour contrôler tout ça
? Passerelle antiviral, paramétrage du firewall, etc.
Néanmoins, pensez vous que seul le filtrage et la vérification du côté
intranet puisse garantir une assez bonne sécurité pour le réseau de
l'entreprise ?
Je m'adresse maintenant à ceux qui aurait eut l'occasion de tester ce serveur VPN SSL ou tout autres applications similaires.
J'utilise le WebVPN de cisco qui ressemble à ca (j'avoue que je ne me suis pas trop fatigué à regarder en détail)
Tout d'abord que pensez vous du niveau de sécurité de ce genre d'applications ? sachant qu'elle est basée sur un cryptage SSL.
Je dirais que tout dépend de l'implémentation et des algos / tailles de clée
Il existe plusieurs mode d'authentification, par mot de passe, par certificat commun à tous les clients ou par certificat individuel pour chaque client. Pensez vous qu'il serez possible d'utiliser ce serveur pour une application professionnel ?
Pourquoi ca ne le serait pas ? Le seul point que je vois c'est le travail que ca peut demander a l'entreprise pour gérer les certificats. Est ce que tu as vérifier si le serveur gérait les CRL ? (dans le cas d'une authentification par certificat unique par utilisateur, l'auth par certif commun me parait être une très mauvaise idée) Si non ca peut être problématique...
Oui, je pense aussi que si cette application est destinée à être
utilisé par un bon nombre de personne, l'idée du certificat n'est pas la meilleure. De toute manière cette application gère plusieurs sortes d'authentification, je pense que la plus simple à retenir et celle par login/mot de passe. Par contre je ne vois pas c'est que sont les CRL ?
Je tiens à rajouter que pour le moment je n'est trouver aucune fonctionnalité qui permettrai de garantir la sécurité du PC client (virus, keylogger, etc.), ceci dans le but d'éviter toute attaque sur le réseau de l'entreprise depuis un PC client.
Je vois pas en quoi c'est à un soft VPN de faire ca. C'est pas parce que tu fais du VPN "secure" que tu ne dois pas faire de filtrage et toute autre procédure de vérification. De toute façon je pense que s'il existait un moyen fiable de contrôler les machines clientes, ca se saurait (je ne vois pas comment tu peux détecter un keylogger hardware par exemple)
Ben en faite le problème qui se pose ici, c'est que c'est du VPN SSL.
C'est un portail qui est accessible depuis n'importe quel page web, donc n'importe quel PC (domicile, cybercafé, etc.) Vue que l'on ne déploie pas de client comme dans un VPN IPSec, on ne sait pas du tout sur quelle machine on peut tomber. Je me demandais donc si il n'y avait pas des sortes de plugin qui permettrai de faire un scan antivirus du PC, etc.
Par contre, c'est sûr que du côté de l'intranet il faudra faire du filtrage, mais je ne sais pas trop comment faire pour contrôler tout ça ? Passerelle antiviral, paramétrage du firewall, etc.
Néanmoins, pensez vous que seul le filtrage et la vérification du côté intranet puisse garantir une assez bonne sécurité pour le réseau de l'entreprise ?
Bruno Bonfils
Splite writes:
Oui, je pense aussi que si cette application est destinée à être utilisé par un bon nombre de personne, l'idée du certificat n'est pas la meilleure. De toute manière cette application gère plusieurs sortes d'authentification, je pense que la plus simple à retenir et celle par login/mot de passe. Par contre je ne vois pas c'est que sont les CRL ?
CRL = Certificate Revocation List, ce qui permet de révoquer (invalider) un certificat avant qu'il n'expire, quand par exemple une personne démissionne, etc... Si une identification X509 par un logiciel ne supportant pas de CRL, je ne vois pas - a ma connaissance - de moyen d'invalider un certificat.
Ben en faite le problème qui se pose ici, c'est que c'est du VPN SSL. C'est un portail qui est accessible depuis n'importe quel page web, donc n'importe quel PC (domicile, cybercafé, etc.) Vue que l'on ne déploie pas de client comme dans un VPN IPSec, on ne sait pas du tout sur quelle machine on peut tomber. Je me demandais donc si il n'y avait pas des sortes de plugin qui permettrai de faire un scan antivirus du PC, etc.
Si tu choisis une authentification par mot de passe, tu peux éventuellement réfléchir a l'utilisation de OTP (One Time Password), ou un clavier virtuel (ce qui empeche l'enregistrement du pass par keylogger)
Par contre, c'est sûr que du côté de l'intranet il faudra faire du filtrage, mais je ne sais pas trop comment faire pour contrôler tout ça ? Passerelle antiviral, paramétrage du firewall, etc.
Tout dépend de ton type de flux... Tu peux très bien n'autoriser la connexion depuis le VPN qu'a un proxy par exemple ce qui ne laisse que deux (en plus du concentrateur VPN) machines accessibles depuis le VPN.
Néanmoins, pensez vous que seul le filtrage et la vérification du côté intranet puisse garantir une assez bonne sécurité pour le réseau de l'entreprise ?
Tout dépend du niveau de confiance que tu accordes aux utilisateurs de ton VPN et du niveau critique des données a protéger (comme d'habitude quoi)
Mes deux cents
-- http://asyd.net/home/ - Home Page http://guses.org/home/ - French Speaking Solaris User Group
Splite <splite@laposte.net> writes:
Oui, je pense aussi que si cette application est destinée à être
utilisé par un bon nombre de personne, l'idée du certificat n'est pas la
meilleure. De toute manière cette application gère plusieurs sortes
d'authentification, je pense que la plus simple à retenir et celle par
login/mot de passe. Par contre je ne vois pas c'est que sont les CRL ?
CRL = Certificate Revocation List, ce qui permet de révoquer
(invalider) un certificat avant qu'il n'expire, quand par exemple une
personne démissionne, etc... Si une identification X509 par un
logiciel ne supportant pas de CRL, je ne vois pas - a ma connaissance
- de moyen d'invalider un certificat.
Ben en faite le problème qui se pose ici, c'est que c'est du VPN SSL.
C'est un portail qui est accessible depuis n'importe quel page web, donc
n'importe quel PC (domicile, cybercafé, etc.) Vue que l'on ne déploie
pas de client comme dans un VPN IPSec, on ne sait pas du tout sur quelle
machine on peut tomber. Je me demandais donc si il n'y avait pas des
sortes de plugin qui permettrai de faire un scan antivirus du PC, etc.
Si tu choisis une authentification par mot de passe, tu peux
éventuellement réfléchir a l'utilisation de OTP (One Time Password),
ou un clavier virtuel (ce qui empeche l'enregistrement du pass par
keylogger)
Par contre, c'est sûr que du côté de l'intranet il faudra faire du
filtrage, mais je ne sais pas trop comment faire pour contrôler tout ça
? Passerelle antiviral, paramétrage du firewall, etc.
Tout dépend de ton type de flux... Tu peux très bien n'autoriser la
connexion depuis le VPN qu'a un proxy par exemple ce qui ne laisse que
deux (en plus du concentrateur VPN) machines accessibles depuis le
VPN.
Néanmoins, pensez vous que seul le filtrage et la vérification du côté
intranet puisse garantir une assez bonne sécurité pour le réseau de
l'entreprise ?
Tout dépend du niveau de confiance que tu accordes aux utilisateurs de
ton VPN et du niveau critique des données a protéger (comme d'habitude
quoi)
Mes deux cents
--
http://asyd.net/home/ - Home Page
http://guses.org/home/ - French Speaking Solaris User Group
Oui, je pense aussi que si cette application est destinée à être utilisé par un bon nombre de personne, l'idée du certificat n'est pas la meilleure. De toute manière cette application gère plusieurs sortes d'authentification, je pense que la plus simple à retenir et celle par login/mot de passe. Par contre je ne vois pas c'est que sont les CRL ?
CRL = Certificate Revocation List, ce qui permet de révoquer (invalider) un certificat avant qu'il n'expire, quand par exemple une personne démissionne, etc... Si une identification X509 par un logiciel ne supportant pas de CRL, je ne vois pas - a ma connaissance - de moyen d'invalider un certificat.
Ben en faite le problème qui se pose ici, c'est que c'est du VPN SSL. C'est un portail qui est accessible depuis n'importe quel page web, donc n'importe quel PC (domicile, cybercafé, etc.) Vue que l'on ne déploie pas de client comme dans un VPN IPSec, on ne sait pas du tout sur quelle machine on peut tomber. Je me demandais donc si il n'y avait pas des sortes de plugin qui permettrai de faire un scan antivirus du PC, etc.
Si tu choisis une authentification par mot de passe, tu peux éventuellement réfléchir a l'utilisation de OTP (One Time Password), ou un clavier virtuel (ce qui empeche l'enregistrement du pass par keylogger)
Par contre, c'est sûr que du côté de l'intranet il faudra faire du filtrage, mais je ne sais pas trop comment faire pour contrôler tout ça ? Passerelle antiviral, paramétrage du firewall, etc.
Tout dépend de ton type de flux... Tu peux très bien n'autoriser la connexion depuis le VPN qu'a un proxy par exemple ce qui ne laisse que deux (en plus du concentrateur VPN) machines accessibles depuis le VPN.
Néanmoins, pensez vous que seul le filtrage et la vérification du côté intranet puisse garantir une assez bonne sécurité pour le réseau de l'entreprise ?
Tout dépend du niveau de confiance que tu accordes aux utilisateurs de ton VPN et du niveau critique des données a protéger (comme d'habitude quoi)
Mes deux cents
-- http://asyd.net/home/ - Home Page http://guses.org/home/ - French Speaking Solaris User Group
