Des clients Elise en mode nomade : on parle sécurité ?

Des guides, des exemples concrets pour s'y retrouver dans l'installation et l'exploitation de la plateforme "Elise"
#1

Des clients Elise en mode nomade : on parle sécurité ?

Messagepar franck_29 » 12 Sep 2016, 18:49

Bonjour à tous

Un jour ou l'autre la question d'accéder à vos instances Elise en mode nomade va se poser. La fonction courrier est stratégique, comme peut l'être également la gestion des documents que vous assurez avec Elise, et dès lors, des autorités de vos organisations voudrons y accéder en situation de mobilité.

En corollaire, une importante problématique de sécurité va se poser pour vous.
Et pour ceux qui ne sont pas experts en la matière, le vocabulaire et les concepts sont complexes, et il est important d'en avoir une vision claire afin par exemple, de sensibiliser les décideurs aux enjeux et aux coûts à consentir pour finalement les convaincre et mieux les aider à décider.

C'est l'objet de cet article que de vous proposer une vision vulgarisée des concepts de sécurisation (VPN et de DMZ) dans le cadre de l'ouverture du service Elise à des clients nomades.

DMZ-VPN-Illustration.jpg


Pourquoi sécuriser est il une nécessité ?

Passer d'une architecture où Elise est utilisée uniquement en interne (sur votre réseau local) à une situation où Elise peut-être accédé depuis l'extérieur pourrait consister à rendre accessible votre serveur Elise depuis Internet. Dès lors, tout client nomade, avec un le bon navigateur pourrait s'y connecter dès lors qu'il connaîtrait l'adresse dudit serveur Elise.
En pratique, cela consisterait à exposer votre serveur Elise et votre intranet à tout poste connecté à l'internet. C'est une très mauvaise idée.

C'est pour cette adresser cette problématique, que des solutions de sécurisation ont été établies depuis déjà de nombreuses années.
Elles se basent sur le notion de VPN (Virtual Private Network) et de DMZ (Demilitarized Zone)

VPN et DMZ : vulgarisation

(traduction de la source https://www.experts-exchange.com/questi ... r-VPN.html)

VPN et DMZ sont deux concepts bien distincts

VPN est une méthode pour connecter deux réseaux locaux (ou un réseau local et un ordinateur distant) au travers d'un réseau non sécurisé (la plupart du temps internet)

DMZ est une segmentation de votre réseau local en zones de sécurité. En termes simples, une DMZ est un segment de réseau où il est impératif de contrôler les flux réseau (entrant et sortant) allant d'une part vers l'extérieur, et vers votre réseau interne d'autre part. A la base, une DMZ est censée être capable de gérer les trafics entrant (en provenance de clients de confiance ou du grand méchant internet) sans pour autant que cette zone soit au sein de votre réseau local. Il faut noter que les équipements qui sont connectés à votre DMZ, de part leur proximité avec l'extérieur sont les plus vulnérables à une attaque de sécurité.

Imaginez que vous n'ayiez pas de DMZ, imaginez encore que le serveur auquel il faille accéder depuis l'extérieur soit sur votre réseau interne. Dans un tel cas, si ce serveur venait à être compromis, (hacké, infecté, virusé, etc...) il pourrait à son tour corrompre l'intégralité de votre réseau local d'entreprise, puisque rien ne le bloque. Dans le cas d'une architecture à DMZ, si un serveur de la DMZ devenait compromis, ses capacités d'accès vers le réseau interne resteraient limitées par le firewall d’interconnexion

DMZ-VPN.PNG



On peut mixer les deux méthodes (VPN et DMZ), comme indiqué sur le schéma ci-dessus, en faisant en sorte que le tunnel VPN relie le client nomade (peer site), et un serveur qui serait lui même en DMZ, c'est une méthode plus sécurisée. La connexion d'un client nomade, via un VPN directement sur une serveur interne ("internal server" sur le graphique) ne doit être réalisée qu'en cas de nécessité.

Conclusions, discussions

On le voit, la sécurisation de votre architecture en vue d'une ouverture à vos clients nomades requiert études, réflexion et nécessitera dans certains cas une évolution.
Et dans votre cas, sans trahir de secret, en quelques mots, quelle solution avez-vous retenue ?

Vous nous en parlez ?
Pour bien débuter sur le forum : la charte, FAQ, Comment faire ?
Les points essentiels en quelques clics : Notre Blog
Président du club des utilisateurs d'Elise, administrateur de la communauté "Lettre à Elise"
Ancien directeur d'un projet visant à déployer Elise dans une grande organisation
.
Avatar de l’utilisateur
franck_29
Administrateur
Administrateur
 
Message(s) : 256
Inscription : 01 Juin 2015, 12:43
Localisation : France, Paris, Cléder

#2

Re: Des clients Elise en mode nomade : on parle sécurité ?

Messagepar gabs » 13 Sep 2016, 12:43

Voici un sujet intéressant... ;)

Il existe aussi une autre méthode pour exposer sur Internet et sécuriser ce type de services : Il s'agit de l'utilisation de "reverse proxy"

Cette fonctionnalité, souvent embarquée dans divers équipements de sécurité (firewall applicatifs, load balancer, accélérateurs web, ...) permet d'exposer un service interne sans avoir à la rendre directement accessible par Internet.
Pour ce faire, c'est le reverse proxy qui est exposé sur Internet (souvent via une DMZ) et qui relaye les demandes qu'il estime légitimes au serveur final.

Cela présente quelques avantages :
  • on expose pas directement le serveur final
  • on peut filtrer les demandes à transmettre. Par exemple, on ne permet pas le relais de requêtes vers la partie back-office du site
  • le reverse proxy peut filtrer et bloquer des attaques Web classiques (IDS, IPS)

Et ce type de solution a l'avantage d'être assez facilement mis en place sur une infrastructure existante. ;)
Avatar de l’utilisateur
gabs
Administrateur technique
 
Message(s) : 17
Inscription : 01 Juin 2015, 12:43
Localisation : Limoges


Retour vers [TECHNIQUE] Tutoriels et Guides liés à l'installation et à l'exploitation, Vos témoignages

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron