Quelle sécurité pour les collaborateurs nomades ? PPTP /L2TP / IPSEC

[Kronick]

Bonjour,
voila toujours sur le L2TP / PPTP / IPsec proutus, etc...
J'en arrive à la conclusion suivante, la rolls de la sécurité reste L2PTP couplé à IPsec (donc transport et tunnel sécurisés)
dans tous mes tests, j'ai très facilement réussi à monter un serveur PPTP.

Pour des plateformes mac os X, le PPTP se connecte aisément avec l'interface intégrés, pour le L2TP / ipsec c'est une autre histoire : obligé de passer par VPN tracker qui a toutes les options qui vont bien

et vous, que déployez vous à destination des personnes nomades pour se connecter au réseau de la boîte ?
Est-ce être trop parano pour rien que d'essayer à tout prix de rendre le L2TP / IPsec compatible et surtout FONCTIONELLE pour tout le monde, ou mettre en place un VPN à base de PPTP uniquement est suffisant. C'est bien sûr un choix important à faire
j'attends vos retours,
merci

[Kronick]

bon alé up
L2TP via IPsec sous mac os X , j'ai encore un peu de mal.
j'avance un peu mieux avec un VPN uniquement basé sur IPsec (qui sécurisé et le transport et le tunnel dans mon cas), avec IPsecuritas, je commence à trouver quelque chose (j'ai encore quelques soucis sur la négociation,phase 1 l' IKE)
voila. Les VPN sous mac os X, c'est 3 clients qui se courent après, donc 1 qui marche superbien mais qui coute plus de 100 euros

[sumfvm]

Pour les nomades c'est simple : S'ils sont connectés depuis des hotspots avec des ports filtrés, tu devras mettre en place un VPN SSL, pas le choix (en opensource il y a SSL Explorer sinon c'est très cher en hard) et sinon un OpenVPN ça tourne plutôt bien, pour faire du VPN IPSec (AH/ESP) en mode transport dans ton cas. Par contre, sachant qu'IPSec ne traverse pas les passerelles NAT, va falloir prévoir de mettre en place un mécanisme de NAT-T.

[Dream49]

Pour nous, tout le monde en VPN SSL via deux concentrateurs juniper

[augur1]

Perso j'ai le Cisco Small Business RVL200, il n'est pas si cher que ça.
=> http://www.ldlc.com/fiche/PB00060962.html

[Kronick]

merci pour ces retours
sumfvm : pour la traverse du nat, j'ai pensé travailler sur une DMZ au niveau du routeur, ça semble marcher
dream, merci pour la ref, mais l'idée c'est vraiment de mettre à disposition des gens un simple client qui fait qu'ils peuvent utiliser mes services intra (annuaire AD / sites intranet) en douceur
augur : de l'autre côté tu as quoi ? des clients PC ? une connexion site à site ?
au boulot, j'ai un DFL-210, c'est un super modèle de chez D-Link, tu peux configurer chaque action de la facon dont tu veux

sinon j'ai encore un peu avancé; je penser finalement adopter un vpn à base de IPSec , en tant que transport et tunnel. J'a trouvé IPsecuritas pour mac os X qui est un client gratuit ipsec (95% des collaborateurs tournent sous mac os x )
j'ai toujours un peu de mal sur le L2TP / IPsec, mais je tâcherais de comprendre pourquoi ça passe pas
merci

[augur1]

augur : de l'autre côté tu as quoi ? des clients PC ? une connexion site à site ?

pour le moment, plus rien, il ne me sert plus ; il me servait à l'époque pour connecter mon Smarphone en SSL vers chez moi (pour utiliser le port 443 et surfer + streamer vidéos sans être hors forfait).
ensuite, les forfaits internet sur téléphone se sont développés, incluant tout le rendant obsolète pour une utilisation perso ;
après cela, il était prévu de connecter le chez moi sous Free vers ma boite sous Numericable 100Mb et d'avoir de l'autre coté 4 PC + 1 NAS derrière un serveur IPCOP avec Open SSL.

++

[Dream49]

merci pour ces retours
sumfvm : pour la traverse du nat, j'ai pensé travailler sur une DMZ au niveau du routeur, ça semble marcher
dream, merci pour la ref, mais l'idée c'est vraiment de mettre à disposition des gens un simple client qui fait qu'ils peuvent utiliser mes services intra (annuaire AD / sites intranet) en douceur
augur : de l'autre côté tu as quoi ? des clients PC ? une connexion site à site ?
au boulot, j'ai un DFL-210, c'est un super modèle de chez D-Link, tu peux configurer chaque action de la facon dont tu veux

sinon j'ai encore un peu avancé; je penser finalement adopter un vpn à base de IPSec , en tant que transport et tunnel. J'a trouvé IPsecuritas pour mac os X qui est un client gratuit ipsec (95% des collaborateurs tournent sous mac os x )
j'ai toujours un peu de mal sur le L2TP / IPsec, mais je tâcherais de comprendre pourquoi ça passe pas
merci

bah en vpn ssl c'est du http pour le client hein, rien de plus simple

[Kronick]

ok j'avais mal lu pardon
mais bon ya un annuaire ldap et le client kivabien aussi, le serveur de fichiers samba

[sumfvm]

Perso j'ai le Cisco Small Business RVL200, il n'est pas si cher que ça.
=> http://www.ldlc.com/fiche/PB00060962.html

Merci, je connaissais pas ce produit

[Kronick]

up !
voila, j'ai enfin réussi à monter un tunnel vpn
donc, ipsec en tunnel / transport. L2TP via Ipsec sous Mac, ya quedalle.
J'ai constaté donc au fil de mes recherches / lectures que même si un VPN a un schéma de fonctionnement universel, chaque matériel a sa facon de considérer le tunnel en question. Aussi sans une bonne connaissance du matériel, spa facile

quant à la sécurité, et bien, je pense que ça ira, en dehors même des aspect techniques (DH de niveau 5, clé / certificat), cette sécurité est aussi un ensemble cohérent, la véritable sécurité semble au final être une connaissance de la chaîne (du client à distance jusqu'au ressources exploitées) ce qui peut garantir le juste millieu entre un service fonctionnel et un niveau de sécurité suffisant sans tomber dans une paranoïa extreme.
Plus on s'amuse à tout sécuriser et plus on trouvera des malins pour tout contourner je pense

[dsebire]

Salut,

gros up

je suis en train de monter un VPN au taf.
a la base je voulais un L2TP/IPSec car assez securisé.

ça marche pas car le protocole GRE (47) n'est pas natté sur l'interface WEB de mon serveur VPN (je suis sous 2k3 R2) et ce n'est pas possible.

je pense que de la meme maniere, pas moyen de mettre la machine en DMZ.

j'ai du mal avec PPTP. il utilise aussi ce protocole ?
c'est moins secure mais bon, ça irait quand meme.

si vous connaissez d'autre solution utilisables en entreprise, qui n'utilisent que des ports TCP/UDP, ou l'on peut gerer les accès par appartenance a un groupe AD, je prends

Merci

[kalistyan]

PPTP utilise GRE (47).

Par contre comprend pas ton problème avec L2TP/IPSec...

Pour information :

PPTP:
To allow PPTP tunnel maintenance traffic, open TCP 1723.
To allow PPTP tunneled data to pass through router, open Protocol ID 47.

L2TP over IPSec
To allow Internet Key Exchange (IKE), open UDP 500.
To allow IPSec Network Address Translation (NAT-T) open UDP 4500.
To allow L2TP traffic, open UDP 1701.

[dsebire]

L2TP utilise aussi GRE, ça passe pas chez moi
en faisant une recherche sur google, avec L2TP et GRE, on voit clairement que je suis pas le seul

j'ai approfondi le sujet.

PPTP: IP/TCP 1723 + IP/47 (GRE)
L2TP: IP/UDP 500, IP/UDP 1701, IP/UDP 4500 (necessaire que si NAT-T), IP/50 (ESP)

donc je vais revoir ma config, pcq apparememt, j'utilise le 47 donc je dois pas etre en L2TP mais en PPTP
avec un peu de chance, le IP/50 est routable chez le provider.

quelques infos ici: http://technet.microsoft.com/fr-fr/libr ... S.10).aspx

PS: je suis toujours ouvert à d'autres propal de serveur VPN si vous avez

[kalistyan]

VPN destiné à des utilisateurs mobile ?

Investissement possible ?

[dsebire]

mobiles: oui, c'est pour les boss et un commercial quand ils sont en rdv.

investissement: oui 2€
pour l'investissement, proposes, on verra (c'est clair qu'a 10k€ ça sera non )

[kalistyan]

Suis très loin des 10k€ pas l'habitude avec mes tites TPE & PME

Tu as un boitier dédier chez Zyxel, le ZyWALL SSL 10 (10 connexions SSL simultanées). ~ 232€ HT

Plus d'information ici

Ou

Propalms VPN ici

Disponible en virtual appliance.

Pack 10 users + maintenance 1 an incluse (obligatoire la 1ère année) 305€ HT

[dsebire]

Merci mais je vais préciser un peu plus la chose (les 2 solutions que tu as proposé ne sont pas possibles dans mon cas)

pour faire rapide, on n'a pas la main sur la connexion internet

notre provider nous donne un accès internet et des lignes VOIP qui techniquement sont sur des reseaux séparés (LAN) et routés sur un routeur propriétaire qui focntionne pour nous en blackbox.

ce routeur est en fait un serveur VPN par lequel transite la voix.

pour l'internet, ça passe dans le meme tuyau.

il y a 2 tuyau (SDSL + ADSL) a l'heure actuelle, la voix passe sur le SDSL et internet par l'ADSL.
le truc c'est que ce sont des LS vers le provider, les lignes n'ont pas d'IP proprement dite.
le routage s'effectue chez le provider (une IP publique puis routage vers ADSL ou SDSL suivant desire de chacun)

en clair, il y a forcement des limitations (le protocole 47 est deja utilisé par la voix donc non routable pour mon VPN par ex)

il n'est pas possible d'utiliser un autre router (je vais installer le zywall chez un client lundi, je connais le produit).

nous avons la main uniquement a partir du switch, pas avant

[kalistyan]

Cela change en effet la donne.

[sumfvm]

Tu bosses dans le publique dsebire ?

[dsebire]

non, pk ?

[dsebire]

j'ai besoin des pros du VPN !!!!

après tests sur du L2TP, ça marche pas. certainement lié a notre provider qui route pas ou mal. bref....

PPTP, L2TP pas possible
SSTP je peux pas je suis sous 2k3 et il faut 2k8 coté serveur, coté client il faut au moins vista et j'en ai 2 sur 3 sous XP, en plus, le port TCP443 est deja utilisé.

il me reste quoi ?

[Kronick]

ipsec

[dsebire]

c'est encapsulé dans L2TP :/

[gizmo78]

hamachi