OPENVPN CLIENT IP STATIC
-
Après avoir revu tout ça c'est maintenant beaucoup plus clair
Merci CCnet et jdh pour vos explications.
Bonne Journée
@+
Benjamin
-
Tant mieux.
PS : Éventuellement y a t il un de vous qui a installé un Client OPENVPN en service pour que la connexion monte en même temp que Windows sans avoir besoin d'ouvrir la session. Merci d'avance
D'un point de vue sécurité je vous le déconseille très fortement.
-
Il est clair qu'une connexion automatique en service n'est pas l'idéal mais dans l'urgence d'une situation provisoire il faut faire des choix.
Encore merci
@+
Benjamin
-
Il faut faire les bons choix. Pas les mauvais.
Il n'y a aucune raison pour, dans une situation d'urgence, donc déjà dégradée, ajouter des facteurs de risques très importants. Après avoir perdu une partie du SI, on ne prend pas le risque d'en compromettre la totalité. Une situation dégradée implique des contraintes. Tous les gens qui se sont déjà intéressé aux problèmes de disponibilité (dans un PCA ou un PRA) savent cela. Je ne vois pas la pertinence du choix en question. L'utilisateur peut saisir un mot de passe pour lancer une connexion vpn. Ne pas authentifier l'utilisateur lors d'une connexion au SI via un réseau non maitrisé est une très mauvaise idée. Vous feriez courir à votre client un niveau de risque déraisonnable. En cas de problème, votre raisonnement ne tiendrait pas 2 minutes dans une expertise judiciaire et votre responsabilité serait engagée.
Je ne connais pas le secteur d'activité de votre client. Il est possible, selon le cas, que les contraintes réglementaires liées à son activité le mette en situation difficile alors même qu'aucun sinistre ne se produirait. Prenez l’exemple de la loi Informatique et Libertés : la sécurisation des dcp est une obligation. -
Merci CCNET pour ces informations.
Il est vrai que de mettre une "Auto-authentification" fait courir un risque au client. de ce coté la il y a rien a redire.
Mais dans un cas de figure pareil quel serait éventuellement votre choix.
Mon client a besoin pour ses commerciaux d'un accès VPN pour se connecter a leur serveur TSE hébergeant leur gescom.
Actuellement ils sont lier a un prestataire pour leur routeur et le VPN est totalement bancale et instable et le prestataire ne fait pas son JOB et je n'ai pas d’accès à ce routeur.
Donc le Client a un besoin Urgent de travailler d’où ce choix discutable mais fonctionnel.
A terme il est prévu de virer le routeur actuel pour mettre un Pfsense. mais, malheureusement, pas avant plusieurs semaine.Merci par avance
Cordialement
Benjamin
-
La description plus précise du contexte est une bonne chose et l'on situe mieux le problème.
Mais dans un cas de figure pareil quel serait éventuellement votre choix.
Vous avez mis en place Openvpn et les utilisateurs s'authentifient grâce au certificat, protégé par un mot de passe ? C'est bien la situation actuelle ?
-
Oui OPENVPN avec identification avec nom d'utilisateur et mot de passe.
-
Chaque utilisateur possède bien son propre certificat avec date d'expiration maitrisée et par ailleurs gestion d'une CRL côté serveur OpenVPN ?
Il faut bien comprendre que ce ne sont ni le nom, ni le mot de passe qui permettent l'authentification mais le certificat. Le nom et le mot de passe ne permettent que l'accès au certificat.
La configuration VPN doit être telle qu'il n'existe pas de double attachement de la machine connectée en vpn.
Auquel cas il n'y a rien de plus à faire, sauf a avoir besoin d'une authentification forte. -
J'ai effectivement mis une authentification forte avec un mot de passe aléatoire complexe et chaque utilisateur ne peux se connecté qu'une seul fois.
Merci pour vos conseil et vos renseignements
Je m'éduque petit à petit ;P
@+
Benjamin
-
J'ai effectivement mis une authentification forte avec un mot de passe aléatoire complexe et chaque utilisateur ne peux se connecté qu'une seul fois.
Ce n'est pas cela que l'on appelle une authentification forte. Ce type de solution nécessite une authentification à double facteur. L'exemple type est celui des tokens Secure ID. Ou encore une clé usb qui embarque une émulation carte à puce.
-
Oui effectivement
par contre il faut que je regarde ce type de service avec pfsense… (... nouvelles questions a venir ... ;P )
-
Allez encore une petite question (Merci CCNET pour votre aide)
Une solution freeradius en package (Motp) est elle une bonne idée ?
Merci
-
Pas de réponse dans l'absolu. Tout est une question d'adéquation entre les besoins et les moyens (financiers, techniques, organisationnels).