Paramétrage accés distant

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Paramétrage accés distant

Message par mcixus » 13 Déc 2011 15:54

Bonjour,

J'aimerai quelques conseils pour un paramétrage dans une entreprise.

J'ai un employé qui travail à distance (VPN) sur le LAN de l'entreprise. Cette entreprise à un hébergeur qui gère un serveur SQL sous Linux.
Mon employé aimerais pouvoir accéder au serveur SQL directement mais il a une IP dynamique. La seule IP autorisé chez l'hébergeur est celle de l'entreprise (IP publique:port).

Quel est le meilleur moyen pour répondre à ce problème : proxy? paramétrage dans le VPN? routage?

Merci
mcixus
 
Message(s) : 1
Inscription : 13 Déc 2011 15:45

Re: Paramétrage accés distant

Message par jdh » 13 Déc 2011 17:22

Ce qui est simple : l'employé prend la main sur un pc de l'entreprise !
Ce n'est pas direct mais ça a le mérite de fonctionner de suite !


NB : La présentation pourrait être améliorée :
- schéma, firewall, nom du VPN, ...
Du fait de l'absence d'informations, il n'est pas possible de donner d'autres pistes ...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Paramétrage accés distant

Message par Franck78 » 13 Déc 2011 19:07

Hello,

Retraduit plus simplement, un serveur X autorise les clients de la société Y a y acceder.

X vérifie à (priori) seulement l'IP (de Y) pour accepter/refuser les clients.

Z veut aussi acceder à X mais depuis n'importe ou.

Bon, prendre la main sur un poste est effectivement possible mais quand même assez lourd pour si peu.

Le plus simple est d'utiliser un tunnel ssh Z->Y qui se chargera à l'extrémité (chez Y) de transférer le port du serveur vers X !

Solution :
Un seul serveur ssh à l'écoute de Z sur une machine linux de Y.
Transparence totale pour l'appli chez Z.
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: Paramétrage accés distant

Message par jdh » 13 Déc 2011 19:48

Bravo à Franck78 pour expliquer une autre solution (qui mobilise aussi une machine comme ce que je propose).
Solution astucieuse et qui peut-être (bien) meilleure, mais qui suppose un niveau de compréhension technique (bien plus) élevée.

Mais, compte tenu d'une description très succincte et peu technique, je ne suis pas sûr de la réalisation.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Paramétrage accés distant

Message par jibe » 14 Déc 2011 08:41

Salut,

Ce que dit jdh est très vrai. Si la présentation peut être suffisante pour qu'on puisse donner les deux possibilités évoquées, elle reste très insuffisante pour proposer des solutions vraiment adaptées aux besoins, puisqu'on n'en connait presque rien !

Ce qui serait un problème bien présenté sur CCM est très insuffisant sur un forum spécialisé comme phénIXUS, ou on espère pouvoir donner de meilleurs conseils que quelques astuces dont on ignore si elles sont adaptées au cas précis ou pas. L'adaptation devant tenir compte tant des besoins précis et détaillés que des possibilités techniques, en particulier les compétences de celui qui mettra la solution en place ! Compétence que nous ne pouvons juger que par la présentation du problème !

Je t'invite donc, mcixus, à lire et mettre en pratique la charte et les différents conseils donnés dans le wiki, rassemblés et complétés par ce fil. Surtout avec un pseudo qui, s'il n'est pas illégal, est quand même un peu osé et devrait être honoré par un comportement exemplaire ;)

Pour compléter les réponses de jdh et Franck78, je dirais que selon l'usage qui est fait de ce serveur SQL, il est possible que l'utilisation d'un proxy et/ou du VPN soit une solution, et soit même moins lourde que ce qui est proposé. Je n'en dis pas plus : la manière de faire est connue ou assez facile à trouver par quelqu'un ayant les compétences suffisantes pour la mettre en place avec un niveau de sécurité suffisant... et savoir si elle est adaptée dans ce cas !

Le débat pourrait être intéressant et enrichissant ici, mais il faudrait d'abord qu'il puisse avoir lieu et pour cela qu'on sache de quoi on parle !
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: Paramétrage accés distant

Message par Franck78 » 14 Déc 2011 13:59

oh, il n'y a pas vraiment matière à discuter des heures sur un transfert de port.

En suposant que l'utilisateur est windosien, un simple 'gg: putty port forward' remonte l'info immédiatement. Ainsi ce premier sujet daté de 2003 :

http://www.cs.uu.nl/technical/services/ ... ttyfw.html

Dans cet exemple, il suffit naturellement de remplacer 'proxy' par l'IP du serveur sql et 3128 par 3306

Quand à la mise en place d'un serveur ssh et des méthodes d'authentication (par clé dsa/rsa), il doit y avoir 1 million de tutoriel sur le sujet ;-)
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: Paramétrage accés distant

Message par jibe » 14 Déc 2011 22:52

Salut,

Je parlais du débat concernant la meilleure solution (tunnel ssh, proxy, VPN, en squattant un poste du réseau interne ou pas etc.). Mais comme je le disais, pour débattre de possible solutions et choisir la meilleure, il faut connaître le problème ;)
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron