RE: VPN et firewall

Top Page

Reply to this message
Author: Stephane Perez
Date:  
To: 'Ika OSCAOS', ML Guilde, Frederic Mantegazza
Subject: RE: VPN et firewall
Bonjour,

> Cela veut-il dire que je suis protege par ce firewall, et que donc mon
> routeur/firewall derriere mon modem ADSL devient inutile dans ce cas ?


Le fait d'établir un VPN avec un réseau d'entreprise (l'ILL) signifie que
la liaison entre ce réseau et ta machine est sécurisée. La liaison ne
signifiant pas ta machine, en conséquence il faut toutefois filtrer ce qui
passe sur le réseau.

>Non seulement il faut que tu continue a filtrer les paquets qui arrivent

d'internet. Mais en plus il faut que
>tu fasse attention a ce qui arrive a travers le VPN. Comme le dis "gslr",

s'il y a des personnes mal
>intentionnées sur le reseau de l'ILL ou si le reseau de l'ILL est pénetré

alors ta machine se retouve sans
>aucun protection si tu ne prends pas soin de filtrer aussi ce qui arrive du

coté de l'ILL.

Je suis d'accords mais voici un point de vue supplémentaire dans le cas
d'utilisation d'IPSec avec du Split-Tunnelling.

(Le Split tunnelling étant la possibilité d'utiliser à la fois l'interface
VPN et l'interface normale de la machine. Dans le cas où on utilise la
default gateway comme étant le endpoint du VPN, c'est le même principe mais
un peu plus simple. Celà dépends uniquement de la table de routage.)


Par habitude lors de l'établissement d'un VPN il faut contrôler d'autant
plus ce qui passe sur la liaison sécurisée, car si on imagine le scénario
suivant:

- ta machine est connectée à internet par ton ISP favori, tu as donc une
adresse IP publique qui t'es attrbuée par cet ISP.
- Tu établis une connexion sécurisée (de préférence IPSec) entre ta
machine (à partir d'une adresse généralement publique ou privée suivant ta
configuration) et la passerelle VPN de l'ILL.
- Ta connexion IPSec établie tu travailles comme à ton habitude et, tu es
victime d'une attaque venant de l'Internet par ta liaison publique (non
VPN).
- Le hacker qui s'est introduit sur ta machine a maintenant accès de par
la liaison IPSec au réseau de l'ILL.

Donc d'un point de vue pratique et à but de sécurité, il faut que lorsque
ton VPN est actif que tout le traffic qui rentre sur ta machine soit filtré
et ce au maximum.
Qu'il soit impossible que l'on utilise ta machine pour rentrer sur le
réseau de l'entreprise mais également que ta machine soit protégée au
maximum du réseau de l'ILL au cas où certains hackers se seraient introduits
dans ce réseau.

Typiquement, utilises un script qui modifie la configuration du fw lors de
l'établissement du VPN et qu'il verrouilles tout ce qui rentre et sort de ta
machine que ce soit au niveau du VPN qu'au niveau de la connexion publique.

Cordialement

Stéphane PEREZ