VPN

[lls]

Yop,

Petite question est ce qu'il est possible de monter un vpn à travers un proxy d'entreprise (bon ca oui) mais en utilisant un port qui serait ouvert pour autre chose ou alors comment voir les ports qui pourraient servir ?

Je peux monter un vpn pro en utilisant cisco anyconnectsecuremobility et je me disais du coup que je pourrais faire passer mon vpn sur le même chemin (quand j'utilise pas le pro)

Merci

[TheMartel]

ouaip.
mais y a un risque de se faire chopper puis virer...

[lls]

pas vraiment de risque vu l'accès que j'utiliserais (fut un temps ou j'avais tor et proxy etc...)

[TheMartel]

pas vraiment de risque vu l'accès que j'utiliserais (fut un temps ou j'avais tor et proxy etc...)

C'est toi qui vois

[lls]

disons que ca m'amuse de tester leur sécurité et vu comment la dernière fois je suis passé à travers avec simplement des logiciels grands publics MDR sinon dès que j'aurais la 3G qui passera dans mon bureau ca sera plus facile lol

[TheMartel]

disons que ca m'amuse de tester leur sécurité et vu comment la dernière fois je suis passé à travers avec simplement des logiciels grands publics MDR sinon dès que j'aurais la 3G qui passera dans mon bureau ca sera plus facile lol

C'est pas une question de passer ou pas, ou de simple ou pas.
Chez moi, une ouverture de VPN comme ça c'est faute grave, direct dehors avec en général des indemnités a payer a la boite: tu fais ce que tu veux, mais sois conscient de ce que tu risque. C'est considéré tout simplement comme une introduction illégalle dans un SI. Si ça tourne mal, tu peux même aller en prison. je suis pas sur que l'utilisation que tu vas en faire vailles le risque; et si c'est le cas, alors c'est que c'est illégal.

[lls]

Oui globalement je suis d'accord avec toi mais j'ai pas de risque de ce côté là par contre du coup ta remarque me fait me poser une question sur une autre idée est ce qu'on peut mettre en place un accès type vpn entre 2 sites mais uniquement autoriser la machine qui se connecte. (je sais pas si tu vois ce que je veux dire)

[augur1]

Kdo qui perce tout : Tunnel SSH
-> http://www.evernote.com/l/AHPB0BTemJFA7 ... UoVwbPEiw/
-> http://www.evernote.com/l/AHPGvFdz_sBOQ ... LbXojA8zU/

... que je passe en 8443

Perso tout à fait d'accord avec TheMartel mais il arrive de ne pas avoir le choix : quand d'un coté tu as le service informatique qui bride tout et de l'autre le service audiovisuel qui a besoin d'un accès temporaire au net pour télécharger un logiciel ou en activer un autre ou faire une mise à jour ou encore envoyer en FTPS ... pas d'autres choix que de percer :/
Surtout que chez les mamouths, il faut en référer au responsable qui fera une réunion avec d’autres responsables pour le que le chef soit au courant et qu'ensuite le chef fasse sa réunion de chefs avec d'autres services puis que les sbires du chef de l'autre service se réunissent pour donner leur avis et qu'ensuite leur chef parle au chef de service qui dit au responsable qui nous informe = 2 ans !!!!!!

++

[lls]

intéressant je vais regarder ca aussi

[c0bw3b]

Faut déjà pouvoir le monter le tunnel SSH.
Depuis une entreprise avec proxy/filtrage Internet, la proba est très grande que tu n'y arrives pas. Le trafic sortant autorisé se résume en général à DNS/HTTP/HTTPS. Point. >_

[lls]

+1

Ma question initiale c'est surtout quand dans une boîte tu montes un vpn pour te connecter sur le réseau interne (à partir d'un autre réseau interne production par exemple) est ce que on peut utiliser ce port pour monter un autre vpn ? Et comment savoir si le routage du vpn qui permet de se connecter au réseau interne passe par un accès internet ou est ce le port est routé sur le deuxième réseau interne ?

[lls]

Kdo qui perce tout : Tunnel SSH
-> http://www.evernote.com/l/AHPB0BTemJFA7 ... UoVwbPEiw/
-> http://www.evernote.com/l/AHPGvFdz_sBOQ ... LbXojA8zU/

... que je passe en 8443

Perso tout à fait d'accord avec TheMartel mais il arrive de ne pas avoir le choix : quand d'un coté tu as le service informatique qui bride tout et de l'autre le service audiovisuel qui a besoin d'un accès temporaire au net pour télécharger un logiciel ou en activer un autre ou faire une mise à jour ou encore envoyer en FTPS ... pas d'autres choix que de percer :/
Surtout que chez les mamouths, il faut en référer au responsable qui fera une réunion avec d’autres responsables pour le que le chef soit au courant et qu'ensuite le chef fasse sa réunion de chefs avec d'autres services puis que les sbires du chef de l'autre service se réunissent pour donner leur avis et qu'ensuite leur chef parle au chef de service qui dit au responsable qui nous informe = 2 ans !!!!!!

++

Et encore quand ils te bloquent pas un téléchargement sur le site de dell ou Microsoft !!!!

[Xender]

Oui normalement tu peux monter un vpn du moment que le port passe et peut être aussi le ndd et/ou ip.

Tu monte un vpn sur le port 443 et le tour est joué.

[Asbeste]

Surtout que chez les mamouths, il faut en référer au responsable qui fera une réunion avec d’autres responsables pour le que le chef soit au courant et qu'ensuite le chef fasse sa réunion de chefs avec d'autres services puis que les sbires du chef de l'autre service se réunissent pour donner leur avis et qu'ensuite leur chef parle au chef de service qui dit au responsable qui nous informe = 2 ans !!!!!!

Ohpinaise tu as les memes clients que moi...

[micha30000]

Kdo qui perce tout : Tunnel SSH
-> http://www.evernote.com/l/AHPB0BTemJFA7 ... UoVwbPEiw/
-> http://www.evernote.com/l/AHPGvFdz_sBOQ ... LbXojA8zU/
... que je passe en 8443

Perso tout à fait d'accord avec TheMartel mais il arrive de ne pas avoir le choix : quand d'un coté tu as le service informatique qui bride tout et de l'autre le service audiovisuel qui a besoin d'un accès temporaire au net pour télécharger

Ouais, mais ce que tu vois pas c'est qu'il y a des raisons au bridage. Et surtout des raisons de sécurité. Je passe mon temps à chasser les gars qui inventent des moyens de contourner les trucs que je mets en place. Derrière chacune de mes actions il y a une analyse des risques, et donc des risques aux impacts élevés et à la probabilité d'occurrence forte. Forcément, du côté de l'utilisateur, il imagine pas qu'un truc anodin soit en fait ultra important.
Dernièrement j'ai *enfin* déployé une politique de mot de passe pour les gars du service info. Yen a un qui vient me voir et me dit "dégage moi ça, j'ai rien d'important sur mon PC". Sauf que si je choppe son compte, qui n'a aucun droit sur le domaine il est vrai, j'ai quand même un compte avec accès admin local sur les 3000 postes du parc, et je peux donc, au choix, tous les rendre indisponibles, les chiffrer et demander une rançon, récupérer l'ensemble des données présentes, etc. Faut pas tomber dans l'inverse où on ferme parce que c'est plus simple à gérer, mais globalement ça n'arrive pas. Et au pire, tu télécharges chez toi et tu reviens avec...

Faut déjà pouvoir le monter le tunnel SSH.
Depuis une entreprise avec proxy/filtrage Internet, la proba est très grande que tu n'y arrives pas. Le trafic sortant autorisé se résume en général à DNS/HTTP/HTTPS. Point. >_

[augur1]

faut accepter qu'il y a des raisons.

*qu'il y ait

au pire, tu télécharges chez toi et tu reviens avec...

!?! c'est pour du pro ... faut pas mélanger, ça rien à faire chez moi !!!

[>
C'est comme genre l'ensemble technocratique, hiérarchiquement au dessus de toi, qui te reproche le lundi matin "t'as pas lu le mail que j'ai envoyé à 15h45 avant de partir, vendredi soir ?"
-> "bahh non, j'étais en week-end mais je vais prendre le temps de le lire aujourd'hui sur mon temps de travail à la place des heures de mission affectées au projet courant et à terminer ce soir"
... ces mêmes bureaucrates qui ne comprennent pas ton job et du coup coupent les budgets d'investissement pour le mener à bien, qui ne veulent pas entendre parler d'heures supplémentaires, de tickets resto après 20h, n'acceptent pas qu'il y ait un échelon débutant et un confirmé....
soit je n'ai rien du tout et je ne peux pas bosser, du coup le projet ne peut pas être livré et c'est de ma faute .... et là, vas y pour expliquer le pourquoi du comment aux bureaucrates qui au bout de 6s gros max ont complètement décroché, ne comprenant pas mais pensant quoiqu'il en soit que le projet n'est pas finalisé, que ça va leur coûter de l'argent et que t'es donc un incompletemenul
-> soit ok j'ai un accès... au bout de 3j

Parfois l'impression d'avoir à faire à des techos frustrés, dont l'enfance d'incompris ont miné leur vie et qu'à présent ils ont le pouvoir d'attribuer ou pas des faisabilités, ils se vengent en nous prenant de haut, comme s'ils avaient EUX le savoir et que nous ne comprenons rien aux possibilités & aux enjeux engagés :/

[lls]

Moi j'ai résolu mon problème j'ouvre la fenêtre et la 4G rentre dans mon bureau du coup je monte mon vpn sur une achien perso hors réseau pro et aucun risque.

Bon seul souci l'hiver arrive et je vais devoir mettre 2 pulls pour continuer ou trouver de la corde pour accrocher mon téléphone à l'extérieur pour que le relais wifi fonctionne

[dsebire]

[>
C'est comme genre l'ensemble technocratique, hiérarchiquement au dessus de toi, qui te reproche le lundi matin "t'as pas lu le mail que j'ai envoyé à 15h45 avant de partir, vendredi soir ?"
-> "bahh non, j'étais en week-end mais je vais prendre le temps de le lire aujourd'hui sur mon temps de travail à la place des heures de mission affectées au projet courant et à terminer ce soir"
... ces mêmes bureaucrates qui ne comprennent pas ton job et du coup coupent les budgets d'investissement pour le mener à bien, qui ne veulent pas entendre parler d'heures supplémentaires, de tickets resto après 20h, n'acceptent pas qu'il y ait un échelon débutant et un confirmé....
soit je n'ai rien du tout et je ne peux pas bosser, du coup le projet ne peut pas être livré et c'est de ma faute .... et là, vas y pour expliquer le pourquoi du comment aux bureaucrates qui au bout de 6s gros max ont complètement décroché, ne comprenant pas mais pensant quoiqu'il en soit que le projet n'est pas finalisé, que ça va leur coûter de l'argent et que t'es donc un incompletemenul
-> soit ok j'ai un accès... au bout de 3j

désolé mais dans ce cas la, le fautif c'est bien toi !
si tu t'aperçois 2j avant la fin que t'as besoin d'un accès direct au net pour activer une licence, désolé mais gros pb d'orga au niveau du projet
si c'est toi le responsable du projet, c'est bien fait !

je suis comme micha, de l'autre coté, le méchant monsieur qui ferme les porte a cause de kevins qui font n'importe quoi.

faut pas croire qu'on fait ça par plaisir, mais souvent parce que quand tout est ouvert, certains (peu en général) prennent des libertés que le bon sens empêche de faire aux autres. je parle évidement pas des cas ou il y pourrait y avoir du piratage industriel, la confidentialité etc.. ce qui est souvent le cas dans certains domaines (banques/assurances)

du coup a cause d'un ou 2 trou du Q, c'est bloqué pour tout le monde et oui, ça nous (les resp info ou secu) fait aussi chier quand yen a besoin.

[augur1]

désolé mais dans ce cas la, le fautif c'est bien toi !
si tu t'aperçois 2j avant la fin que t'as besoin d'un accès direct au net pour activer une licence, désolé mais gros pb d'orga au niveau du projet
si c'est toi le responsable du projet, c'est bien fait !

Non, tu n'y es pas du tout.

[dsebire]

eh bah transmet ma remarque au responsable de ton projet

[augur1]

eh bah transmet ma remarque au responsable de ton projet

Il se bat avec le service tech et info pour que déjà on puisse bosser, entre autre 12545625 trucs à gérer de partout, avec le client US qui ne sait ni ce qu'il veut ni à une idée de comment faire... nouss on doit juste rester réactifs et avancer pour faire des propositions

[micha30000]

*qu'il y ait

Non

On exclue pas le fait qu'il y a des gars qui prennent plaisir à se donner du pouvoir, reste que brider des accès c'est la base dans une boite.
Autoriser des accès temporaires n'est pas possible à tous les coups, simplement parce qu'il y a des choses que tu ne connais pas: réglementations, certifications, nécessités particulières, whatever.
Je connais pas tes besoins ni les blocages dont tu parles mais donne des détails et je peux certainement t'indiquer si c'est légitime ou non