Bonjour Claude, Disclaimer: Je suis avant-vente Forcepoint
Je pense qu'une solution ZTNA serait adéquate pour ton besoin. Tu installes un Linux ou OVA ou NGFW Forcepoint qui va faire une connexion sortante vers le cloud Forcepoint ONE. Dans Forcepoint ONE tu associes les groupes d'utilisateurs par application/IP/sous-réseau. Tu peux même renforcer la connexion suivant la posture du poste, le pays... Et l'utilisateur sera automatiquement authentifié via l'agent et donc aura accès aux ressources de façon transparente. Et sans agent les utilisateurs pourront accéder aux applications http/s via une technologie de reverse au proxy. Je reste à disposition pour en discuter. Cordialement, Jonathan -----Original Message----- From: frnog-requ...@frnog.org <frnog-requ...@frnog.org> On Behalf Of DUVERGIER Claude Sent: Wednesday, March 29, 2023 2:41 PM To: frnog-t...@frnog.org Subject: EXTERNAL: [FRnOG] [TECH] Serveur "proxy multi-protocoles" (HTTP, FTP, RDP, …) pour le staff en télétravail ? Bonjour la liste, Certains de nos clients limitent les accès a leur SI (site en préproduction, backoffice web, serveur FTP, etc.) par adresse IPv4. On leur communique donc nos adresses IP publiques (celles pour l'accès à Internet), il les autorisent et voilà. Sauf qu'avec le télétravail, le staff qui travaille depuis leur connexion Internet personnelle n'utilisent pas l'une des adresse IP autorisée et sont donc bloqués. On a bien un service VPN qui permet aux collaborateurs en télétravail d’accéder au LAN et SI de la société, mais il est configuré pour ne pas recevoir le trafic réseau "autres" (celui qui irait sur Internet) : l'idée étant que l'employé qui veut se mater une vidéo musicale en fond ou se faire un film en streaming pendant sa pause n'utilise pas inutilement la bande passante du service VPN. Historiquement le problème ne concernait que l'accès HTTP : on a donc installé un proxy web (Squid) en interne (accessible en VPN) que l'employé peut utiliser. Le trafic passe donc de son ordinateur au serveur proxy via le tunnel VPN, et après ce serveur accède au SI du client via une adresse autorisée. Mais avec le temps, se pose la question de l'accès à un serveur FTP, puis en SSH, puis en RDP, etc. J'ai l'impression que pour chaque protocole je vais devoir installer un nouveau serveur intermédiaire. Et que tant qu'à faire dans ce cas là, autant leur configurer une session utilisateur sur un Ubuntu (accessible en bureau à distance) qui utilise une des adresses IPs publiques autorisée et ça fonctionnera pour tout les protocoles. Mais bon, le RDP c'est peu pratique pour l'utilisateur. Vous avez une façon de faire pour ces cas là ? Une solution technique (tel qu'un proxy TCP ou un genre de logiciel bastion qui gère plein de protocole) ? Ou alors reconfigurer le VPN pour qu'il accepte tout le trafic et puis c'est marre ? -- Duvergier Claude --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
