PhenIXUS

[mathcyber]

Bonjour à tous,
Cela fait bien longtemps que je ne me suis pas attaché aux réseaux d'entreprises. Cependant suite à un projet de connexion à distance j'ai été obligé de mettre mon nez dedans.... Alors le moindre de vos conseils sera très utile j'en suis sûr !
Voilà nous avons actuellement un réseaux interne à l'entreprise, et très mal construit. Cependant suite çà une décision de la direction nous devons permettre à nos commerciaux de réaliser des devis chez nos clients. Et ceci dans l'urgence en attendant une solution plus complète.
Nous utilisons un soft nous permettant de décrire nos jobs (nous travaillons dans l'industrie), de calculer des devis (ce qui est dans cette industrie très complexe...), de réaliser les plannings, les expés... etc...
Ce soft ne permet pas actuellement de déployer une solution CLOUD par conséquent impossible de fonctionner avec une version autonome ou connectée sur le pc des commerciaux.
La seule solution qui m'a été proposée, mais j'y suis assez rétissant, c'est accéder au serveur qui est actuellement seulement présent sur le LAN, avec une connexion bureau à distance (actuellement version windows 2003 SERV + TSE)... Celà veut dire que nous ouvrons sur le net le SEUL serveur qui permet de faire fonctionner ce soft dans l'entreprise...
Une fois la connexion bureau à distance activée le commercial peut lancer le logiciel sur une session propre et faire son devis.... Je trouve cela assez complexe...
Est ce que comme moi, vous trouvez qu'il y a un gros problème de sécurité ? (pas de DMZ)
Qu'est ce que je pourrais mettre en place pour sécuriser un max sans DMZ dans un premier temps....
Qu'elles seraient les mesures à mettre en place si aucune autre solution n'est possible (sécurité connexion RDP)
Ne peut on pas faire une image du WINDOWS SERVER et de l'installer en autonome sur les pc portables des commerciaux?
Enfin bref qu'elles idées pourriez vous me donner ?
Ce réseau est une véritable catastrophe.... Que je compte régler dans les prochaines semaines mais là c'est une question d'urgence... Même si je sais que kles choses faites en urgence sont les + dangereuses.... Mais que voulez vous direction oblige....
Merci vraiment de votre retour....

[Cool34000]

Salut,

Pour commencer, bien vérifier avant d'ouvrir le port sur l'extérieur que ton serveur soit à jour ! (Windows Update)
Ensuite, s'assurer (vive les GPO) que tes utilisateurs ont une stratégie de mot de passe forte...
Enfin, tu peux augmenter le niveau de cryptage du service RDP...

Le plus simple, c'est de changer le port externe... Ce n'est pas vraiment de la sécurité, mais ça complique un tout petit peu les choses pour un éventuel attaquant !
Sinon il y a une meilleure solution : ne pas ouvrir de port sur l'extérieur et créer un VPN IPSEC !
Autre solution : monter une passerelle TS...

[jdh]

Je vois 25570 solutions :

En 1, mettre en place un VPN. Par exemple un VPN de type OpenVPN est assez simple à mettre en place, y compris à partir d'un serveur Windows, en utilisant les scripts Easy-RSA fourni avec OpenVPN.

En 1bis, utiliser un VPN Ipsec.

En 10, utiliser un VPN L2tp (fourni avec Windows).

En 25000, mettre en place une passerelle TSE (avec Isa Server).

En 25568, mettre en place un VPN Pptp (fourni avec Windows).

En 25569, ouvrir un port non standard (7789 p.e.) et rediriger vers le serveur TSE.

En 25570, ouvrir avec le port standard (3389) et rediriger vers le serveur TSE.


Sinon Cool34000 décrit presque toutes les alternatives ...

[mathcyber]

Merci vraiment à vous.

Très bon forum avec des gens réactifs ça change....

Merci encore je reviens vers vous si j'avais besoin de conseils....

A bientôt,

Mathieu

[mathcyber]

Re,

ENcore une chose,

une fois tout ceci réalisé... La tablette des commerciaux sous Android peut elle accéder à un bureau à distance windows? et si oui avec quelle appli?
(avec un vpn d'installé bien sûr...)

Merci d'avance,

Mathieu

[jdh]

Expérience perso :

J'ai acheté une tablette "chinoise" Zenithink sous Android 4.0.
J'ai pu y ajouter le vpn OpenVPN et y ai collé les certificats pour accéder à mon réseau perso à la maison.
Via mon téléphone (HTC/Android) qui propose le "Point d'accès Wifi", je connecte la tablette à Internet puis à mon réseau perso.
Il existe plusieurs client RDP pour Android dont certains gratuit ... (mais je n'en ai pas l'usage perso)

Il n'y a donc pas de problème à réaliser cela.
(Sauf à disposer d'un vpn OpenVPN qui ne doit pas être dispo pour iPad !)

NB : Attention, toutefois, j'ai ajouté 2 ou 3 logiciels de GooglePlay : busybox + un pour un "root" pour OpenVPN ou quelque chose comme ça ...

[ccnet]

Il semble qu'il existe maintenant un OPenvpn pour Iphone - Ipad : http://www.guizmovpn.com/. Pas testé encore
Par ailleurs le client Ipsec Iphone / Ipad (Cisco) fonctionne très bien avec un serveur vpn Ipsec Pfsense.

[mathcyber]

Re,

Alors en procédure test j'ai monté chez moi un VPN.
Le serveur est sous windows 8, mon ordi portable sous seven. Il n'y a aucun soucis avec le VPN de windows, tout est ok ça marche...
En revanche impossible de connecter mon android (Galaxy S3)... Mais vraiment impossible, les ports sont bien ouverts, le login et mdp sont bons...

Je n'arrive pas à comprendre d'où cela vient...

J'ai effectivement pensé à OPENVPN , avez vous un tuto sur l'install de celui-ci sur Windows, et ensuite sur Android ?

Merci d'avance,

Mathieu

[mathcyber]

ENcore une petite chose....
Quand on installe OPENVPN d'après tous les tutos il faut passer par un serveur qui sur chaque description est payant !

Est ce normal ???

Merci d'avance

[jdh]

"aucun soucis avec le VPN de windows" : manquerait plus que ça, qu'entre Windows cela ne fonctionna point !

Certes mais quel VPN ? pptp = obsolète et cassé, l2tp = pas si simple à mettre en place, ipsec = quelle compatibilité hors de microsoft ?

"OPENVPN d'après tous les tutos [...] payant !" : Certainement pas ! Large défaut de recherche !

Il existe bien une version Open Source, y compris pour Windows. A noter qu'il n'y a qu'une seule version pour client ou serveur, laquelle inclut les scripts "ligne de commande" Easy-RSA permettant de gérer une PKI !