Est-ce que j’ai dis que c’était juste suffisant ? Vous pouvez très bien ajouter une couche VPN. Après si les clef ssh c’est compliqué à déployer sous Windows… y a peut-être autre chose qui fait changer ?
Envoyé de mon iPhone > Le 29 mars 2023 à 18:02, Hosman Beyrouti <hosman.beyro...@dauphintelecom.com> > a écrit : > > Re Hello, > > bastion SSH avec tunnel SSH suffit. De mon point de vue NOP NOP NOP! > > Alors en ce moment penser que ceci est plus sécurisé qu'un VPN vous faite une > grosse erreur stratégique. > Dans nos métier la sécurité est importante. > > Le tunnel SSH est plus du dépannage de mon point de vue qu'un remote access > securisé. > Il va falloir des certificats et leur gestion est problématique et peu > sécurisé surtout si vous finissait par vous les envoyer par email ou les > stocké sur des PC Windows peu sécurisés... > Bref hacker SSH surtout sur de l’itinérant est loin d’être difficile... > Si vous passé par des WIFI publique vous risquez de changer d'avis rapidement > sur les tunnels SSH. > > CDLT Hosman. > > > > ----- Mail original ----- > De: "frnog" <frnog@frnog.org> > À: "frnog" <frnog@frnog.org> > Envoyé: Mercredi 29 Mars 2023 11:42:51 > Objet: Re: [FRnOG] [TECH] Serveur "proxy multi-protocoles" (HTTP, FTP, RDP, > …) pour le staff en télétravail ? > > Hello > > > J'ai peut être mal compris la problématique mais une solution simple > > serait de fournir un vpn hébergé dans vos infras avec une IP fixe que > > vous avez déjà fourni à vos clients. > > > > Chacun de tes collaborateur en remote se connecte donc via le vpn fourni > > et default tout dedans. Soit ta 3eme solution. Cela me parait beaucoup > > plus simple que d'essayer de mettre des proxy multi protocolaire. > > +1 pour cette solution (pourquoi se compliquer?). > > Accessoirement il y a aussi un point important... pourquoi tunneliser > 0.0.0.0/0 (et soyons fous ::/0), alors qu'on peux juste annonce une DMZ (un > /24? un /64) et les DNS qui vont bien pour tunneliser ça proprement ? > Parce que TOUT tunneliser pose un autre problème, surtout l'ordinateur est un > ordinateur n'appartenant pas au sous-traitant/employé... Quid du RGPD? De la > collecte des trucs que font l'ordinateur du client VPN alors qu'il pourrais > juste rebondir sur un client RDP ou bastion SSH (avec tunnels pour faire du > remote desktop en plus)? > > Le concept du VPN qui fait tout m'as toujours rendu assez septique alors > qu'un bastion SSH avec tunnel SSH suffit largement pour beaucoup de cas (on > peux AUSSI ajouter un tunnel avec une techno X ou Y si ça fait plaisir, mais > restons dans le KISS). > > Xavier > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- > [ https://www.email-impact.com/group/redirect/company-logo/8cTWQxwXLK/313 ] > > Hosman BEYROUTI > Administrateur Systèmes et Réseaux > Mob > Fixe > [ tel:06 90 88 00 80 | 06 90 88 00 80 ] > [ tel:06 90 88 00 80 | 05 90 77 40 80 ] > > Chez CDS Immo Impasse Vanterpool Maison Decaunes Concordia > 97150 Saint-Martin > [ > http://www.dauphintelecom.com/#?utm_source=email_impact&utm_medium=signature&utm_campaign=nom_de_domaine > | www.dauphintelecom.com ] > > [ https://www.facebook.com/dauphin.telecom/ ] > [ https://www.youtube.com/channel/UCaa1IU36j9twokUC3NAjZfQ ] > [ https://www.instagram.com/dauphin_telecom/ ] > > > > > . --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
