Re Hello, bastion SSH avec tunnel SSH suffit. De mon point de vue NOP NOP NOP!
Alors en ce moment penser que ceci est plus sécurisé qu'un VPN vous faite une grosse erreur stratégique. Dans nos métier la sécurité est importante. Le tunnel SSH est plus du dépannage de mon point de vue qu'un remote access securisé. Il va falloir des certificats et leur gestion est problématique et peu sécurisé surtout si vous finissait par vous les envoyer par email ou les stocké sur des PC Windows peu sécurisés... Bref hacker SSH surtout sur de l’itinérant est loin d’être difficile... Si vous passé par des WIFI publique vous risquez de changer d'avis rapidement sur les tunnels SSH. CDLT Hosman. ----- Mail original ----- De: "frnog" <frnog@frnog.org> À: "frnog" <frnog@frnog.org> Envoyé: Mercredi 29 Mars 2023 11:42:51 Objet: Re: [FRnOG] [TECH] Serveur "proxy multi-protocoles" (HTTP, FTP, RDP, …) pour le staff en télétravail ? Hello > J'ai peut être mal compris la problématique mais une solution simple > serait de fournir un vpn hébergé dans vos infras avec une IP fixe que > vous avez déjà fourni à vos clients. > > Chacun de tes collaborateur en remote se connecte donc via le vpn fourni > et default tout dedans. Soit ta 3eme solution. Cela me parait beaucoup > plus simple que d'essayer de mettre des proxy multi protocolaire. +1 pour cette solution (pourquoi se compliquer?). Accessoirement il y a aussi un point important... pourquoi tunneliser 0.0.0.0/0 (et soyons fous ::/0), alors qu'on peux juste annonce une DMZ (un /24? un /64) et les DNS qui vont bien pour tunneliser ça proprement ? Parce que TOUT tunneliser pose un autre problème, surtout l'ordinateur est un ordinateur n'appartenant pas au sous-traitant/employé... Quid du RGPD? De la collecte des trucs que font l'ordinateur du client VPN alors qu'il pourrais juste rebondir sur un client RDP ou bastion SSH (avec tunnels pour faire du remote desktop en plus)? Le concept du VPN qui fait tout m'as toujours rendu assez septique alors qu'un bastion SSH avec tunnel SSH suffit largement pour beaucoup de cas (on peux AUSSI ajouter un tunnel avec une techno X ou Y si ça fait plaisir, mais restons dans le KISS). Xavier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ -- [ https://www.email-impact.com/group/redirect/company-logo/8cTWQxwXLK/313 ] Hosman BEYROUTI Administrateur Systèmes et Réseaux Mob Fixe [ tel:06 90 88 00 80 | 06 90 88 00 80 ] [ tel:06 90 88 00 80 | 05 90 77 40 80 ] Chez CDS Immo Impasse Vanterpool Maison Decaunes Concordia 97150 Saint-Martin [ http://www.dauphintelecom.com/#?utm_source=email_impact&utm_medium=signature&utm_campaign=nom_de_domaine | www.dauphintelecom.com ] [ https://www.facebook.com/dauphin.telecom/ ] [ https://www.youtube.com/channel/UCaa1IU36j9twokUC3NAjZfQ ] [ https://www.instagram.com/dauphin_telecom/ ] . --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
