On Thu, Aug 21, 2003 at 04:55:42PM +0200, Stephane Perez wrote:
> Bonjour,
>
> La version SSH est assez seduisante quoiqu'un peu complexe `a mettre en
> oeuvre compte tenu des differents softs et liens entre les couches reseaux
> surtout si certains des clients sont non linux et que tu doivent installer
> SSH dessus.
c'est pas la mort. l'incovéniant majeur c'est de créer des comptres a
tout le monde, même si ils ne siont pas utilisables.
> En ce qui concerne ton probleme de securisation de la connexion, une
> solution relativement simple s'offre `a toi.
>
> Tu as certainement un Apache qui tourne sur ton firewall, donc sur cet
> apache, tu mets une page www en SSL sur laquelle tu fera
> l'authentification de tes utilisateurs sur une base mysql par ex. Et si
> l'utilisateur est valide `a ce moment la un petit script perl modifie les
> regles de firewall. La seule chose `a faire pour le SSL est d'avoir un
> mod_ssl et de generer et signer un certificat avec openssl, tu peux le
> faire valider par une CA type verisign si tu le souhaite par la suite.
En fait tout ceci existe deja : c'est "NoCat". C'est pas mal sauf que je
pige que dalle en perl (et dans leur passage de message) et que cela ne
marche pas chez moi
Le problème principal avec nocat vient à mon avis de la séparation
auth-gateway qui sont pas concus pour tourner sur la même machine et dans
leur communication.
Donc je suis bien decidé à recoder l'interface web en python-cgi, tournant
sur apache-ssl.
J'aurais une base de mots de passes distincts du system et c'est bien
ainsi.
Une partie des moulinettes de modification du firewall est en place (pas
encore completement mais tourne.
je pense mettre un logout automatique des que la mac disparait de la table
ARP (moins de 2 minutes à ce que j'ai mesuré).
>
> Une autre solution serait de mettre un VPN soit en L2TP+Ipsec soit en
> IPSec tout court mais c'est un peu lourd `a gerer et le probleme vient
> surtout des adresses dynamiques et donc la necessite d'utiliser ipsec en
> aggressive mode ce qui peut poser quelques problemes au serveur linux (je
> suis pas sur que freeswan accepte les connexions entrantes en aggressive
> mode)
Pour mon portable, ce sera tres certainement du VPN. mais il sera connecté
virtuellement sur le reseau interne.(donc pur iptables ce sera pas du wifi).
Par contre mon portable n'est pas encore alors ....
les regles du firewall que je vais modifier c'est l'autorisation pour une
MAC/IP de faire du wlan->ext, contrack se chargant du chemmin inverse.
D'autres personnes sont interessées par un projet du genre ?
--
Jérôme __ __
/ _) (_ \
_.----._/ / Dinosaurus \ \_.----._
/ / \ \
__/ ( | ( | Psykorigidus | ) | ) \__
/__.-'|_|--|_| |_|--|_|`-.__\
