Discussion :

[Wurlitzer]

Bonjour,

Déçu pas les VPN Client-to-Site IP Sec à cause des problèmes de firewall, déçu par les VPN SSL Web au cause de leur dépendance aux versions de Java et au modèle de sécurité des navigateurs, je suis la recherche du VPN Client-to-Site idéal.

Pour moi idéal serait :

- SSL pour passer sur le port 443 qui est ouvert partout
- sans client (intégré à Windows) ou avec un client lourd (pas d'applet Java ou d'active X)

Dans cette optique j'ai commencé à regarder le VPN SSTP intégré à Windows depuis Windows 2008. Cela l'air bien, mais j'ai l'impression qu'il est très peu utilisé. Y aurait-il des défauts ou des failles qui m'aurait échappés ?

Connaissez-vous le SSTP, qu'en pensez-vous ? et surtout quelle est selon votre expérience et mes critères THE VPN parfait.

Merci de votre aide

[razmous]

Bonjour,

Pourquoi ne pas utiliser OpenVPN "simplement" au lieu de SSTP ? SSTP technologie propriétaire de Windows, donc ne fonctionnera que dans un environnement Windows, code fermé, pas de revue de code etc. .... et je ne pense pas que c'est largement utilisé

Il n'y a pas de VPN idéal, mais il y a la solution "la mieux adaptée" à tes besoins !
Le type d'implémentation de VPN : VPN IPSec, SSL VPN, ou du OpenVPN (ou autres) dépend du cas d'usage
- d'où se connectent les utilisateurs (site connu, géré, internet hotspot, de chez lui , etc....
- Leurs matériel/OS Desktop (PC, Laptop, Smartphone, etc.), Windows, Linux, IOS, android, etc.
- Leurs niveau technique
- quelles ressources il veux accéder : full IP, applications publiées, WEB, ....
- sans oublier d'utiliser un bon moyen d’authentification selon l'usage

Cdt

[Wurlitzer]

Bonjour,

Effectivement pas mal de question a se poser.

Alors dans mon cas les utilisateurs nomades doivent pouvoir se connecter de partout. Y compris a partir de réseau d'autres entreprises. D'ou le SSL sur le port 443 plutot que IP Sec qui est parfois bloqué. Le besoin initial est uniquement a partir des PC de l'entreprise donc du Windows Pro au moins 7. L’accès doit être FULL IP et authentification se basé sur l'AD. Et surtout la solution doit être "Idiot Proof", j'ai des utilisateurs et pas forcement ceux qui ont le moins de poids dans la société qui ne comprennent rien a l’informatique et qui surtout ne veulent rien comprendre.

J'avais regardé OpenVPN mais cela me semble plus compliqué a mettre en place (ça a la rigueur ce n'est pas grave puisque ce n'est qu'une seule fois) mais surtout plus compliqué a déployer puisque l'il faut distribuer des certificats différents sur les postes utilisateurs.

Cordialement,

FJJ

[BufferBob]

surtout la solution doit être "Idiot Proof", j'ai des utilisateurs et pas forcement ceux qui ont le moins de poids dans la société qui ne comprennent rien a l’informatique et qui surtout ne veulent rien comprendre.

un peu comme expliquer la théorie des cordes à des marmots de maternelle, personne ne prendrait ça suffisamment au sérieux pour ne serait-ce qu'essayer de le faire, mais dans le cadre de l'informatique d'entreprise ce sont des contraintes métier qui existent vraiment

sinon c'est quoi le propos desdits proven idiots, s'installer chez le client sur un poste avec son certificat vpn sur une clé usb et configurer lui même un vpn ?

le plus évident que je verrais c'est le cas où ils débarquent chez le client avec leur laptop déjà configuré et n'ont qu'à se brancher au réseau, partant de là rien n'empêche de bricoler un truc packagé pour tester différentes configurations éventuelles (par exemple commencer par udp:1194, si ça échoue essayer de basculer sur tcp:443, si ça échoue à nouveau tenter udp:53, etc.)

sinon pour toute entreprise un peu sérieusement sécurisée, ponte ou pas ponte tout ça devra faire l'objet d'une demande d'ouverture de flux à l'équipe réseau chez le client, et ça au titre que "t'es qui tu veux mais tant que t'es chez moi on fait comme moi j'dis, hashtag #nofuite, hashtag #hackerchinois, hashtag #jaidesadminslevel80, hashtag #duralexsedlex"