Jonathan, C’est intéressant comme produit. Mais question purement technique (mais néanmoins importante avec tout ce qui est cloud géré par un tiers): il se passe quoi quand le cloud Forcepoint est HS ? C’est quoi le SLA ?
> Le 3 avr. 2023 à 09:28, Delcor, Jonathan via frnog <frnog@frnog.org> a écrit : > > Bonjour Claude, > > Disclaimer: Je suis avant-vente Forcepoint > > Je pense qu'une solution ZTNA serait adéquate pour ton besoin. Tu installes > un Linux ou OVA ou NGFW Forcepoint qui va faire une connexion sortante vers > le cloud Forcepoint ONE. > Dans Forcepoint ONE tu associes les groupes d'utilisateurs par > application/IP/sous-réseau. Tu peux même renforcer la connexion suivant la > posture du poste, le pays... Et l'utilisateur sera automatiquement > authentifié via l'agent et donc aura accès aux ressources de façon > transparente. > > Et sans agent les utilisateurs pourront accéder aux applications http/s via > une technologie de reverse au proxy. > > Je reste à disposition pour en discuter. > > Cordialement, > > Jonathan > > -----Original Message----- > From: frnog-requ...@frnog.org <frnog-requ...@frnog.org> On Behalf Of > DUVERGIER Claude > Sent: Wednesday, March 29, 2023 2:41 PM > To: frnog-t...@frnog.org > Subject: EXTERNAL: [FRnOG] [TECH] Serveur "proxy multi-protocoles" (HTTP, > FTP, RDP, …) pour le staff en télétravail ? > > Bonjour la liste, > > Certains de nos clients limitent les accès a leur SI (site en préproduction, > backoffice web, serveur FTP, etc.) par adresse IPv4. > > On leur communique donc nos adresses IP publiques (celles pour l'accès à > Internet), il les autorisent et voilà. > > Sauf qu'avec le télétravail, le staff qui travaille depuis leur connexion > Internet personnelle n'utilisent pas l'une des adresse IP autorisée et sont > donc bloqués. > > On a bien un service VPN qui permet aux collaborateurs en télétravail > d’accéder au LAN et SI de la société, mais il est configuré pour ne pas > recevoir le trafic réseau "autres" (celui qui irait sur Internet) : > l'idée étant que l'employé qui veut se mater une vidéo musicale en fond ou se > faire un film en streaming pendant sa pause n'utilise pas inutilement la > bande passante du service VPN. > > Historiquement le problème ne concernait que l'accès HTTP : on a donc > installé un proxy web (Squid) en interne (accessible en VPN) que l'employé > peut utiliser. Le trafic passe donc de son ordinateur au serveur proxy via le > tunnel VPN, et après ce serveur accède au SI du client via une adresse > autorisée. > > Mais avec le temps, se pose la question de l'accès à un serveur FTP, puis en > SSH, puis en RDP, etc. > > J'ai l'impression que pour chaque protocole je vais devoir installer un > nouveau serveur intermédiaire. Et que tant qu'à faire dans ce cas là, autant > leur configurer une session utilisateur sur un Ubuntu (accessible en bureau à > distance) qui utilise une des adresses IPs publiques autorisée et ça > fonctionnera pour tout les protocoles. > Mais bon, le RDP c'est peu pratique pour l'utilisateur. > > Vous avez une façon de faire pour ces cas là ? Une solution technique (tel > qu'un proxy TCP ou un genre de logiciel bastion qui gère plein de > protocole) ? Ou alors reconfigurer le VPN pour qu'il accepte tout le trafic > et puis c'est marre ? > > -- > Duvergier Claude > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
