web-dev-qa-db-fra.com

Sécurité du VPN VPN VPN à site VPN VPN

Ma société fournit un service à une autre entreprise et se connecte via VPN plusieurs fois par jour. Le service consiste à accéder à une application Web intranet et à copier des fichiers d'un serveur à un autre si nécessaire.

Actuellement, deux utilisateurs se connectent de leur PC au pare-feu Cisco de la société en utilisant le client Cisco VPN à tout moment. Les PC sont désactivés hors du bureau. Le mot de passe VPN est stocké sur le PC avec un outil dédié crypter avec SHA-256.

Maintenant, l'entreprise dit que nous devons passer à un VPN de site à site comme ils le jugent plus simple à contrôler. Nous nous inquiétons principalement parce que nous craignons de devenir une partie intégrante de leur réseau et de devenir en partie responsable de sa sécurité. Nous pensons qu'il est plus facile qu'un pirate informatique pénètre dans notre pare-feu samedi soir et pénètre dans le réseau de la société que celui d'un pirate informatique dans notre réseau pendant la journée et accède au bon PC au bon moment où le VPN est utilisé.

En supposant que nous ayons un pare-feu décent sans vulnérabilités connues (et les deux sociétés ne sont pas des cibles de haut niveau), sommes-nous trop préoccupées par ce commutateur? Y a-t-il d'autres inconvénients de l'utilisation de sites à site par rapport au client?

5
chris

En ce qui concerne:

Nous nous inquiétons principalement parce que nous craignons de devenir une partie intégrante de leur réseau et de devenir en partie responsable de sa sécurité.

Sauf si vous avez une exigence contractuelle imposant cette responsabilité, il doit rester risque ... il n'y a rien pour empêcher les connexions VPN entrants étant soumis à des contrôles à limiter l'accès/services ... cela devrait déjà être en place et donc le déménagement du client périphérique VPN sur le site VPN site ne devrait pas introduire un changement à cet égard.

Leur architecture ne doit pas être entièrement dépendante de la sécurité de votre réseau (bien que voir ci-dessous).

En ce qui concerne:

Nous pensons qu'il est plus facile qu'un pirate informatique pénètre dans notre pare-feu samedi soir et pénètre dans le réseau de la société que celui d'un pirate informatique dans notre réseau pendant la journée et accède au bon PC au bon moment où le VPN est utilisé.

Il se pourrait bien que, de votre point de vue que vous avez raison (bien qu'il soit probablement un faux sentiment de sécurité dans la réalité). Mais selon la façon dont les ordinateurs portables ont accès à l'Internet, l'organisation que vous connectez pourrait avoir à accepter les connexions à partir d'un large éventail d'adresses, donc si elles peuvent limiter ce à une adresse IP (connue) associée à un site du site VPN, ils sont potentiellement réduire la surface d'attaque applicable à leur réseau.

Les VPN de site site peuvent avoir des avantages par rapport aux réseaux privés virtuels de configuration client site, mais cela dépend du scénario si ceux-ci sont applicables.

Si elles sont correctement faire des choses qu'ils imposeront des obligations légales à vous pour permettre la connexion à leur système (patching, AV, etc.).

Si vous avez des préoccupations que vous pourriez être piraté je concentrer votre attention sur ce risque plutôt que le type de VPN proposé, idéalement vous devriez comprendre suffisamment vos contrôles pour avoir confiance dans la sécurité de votre système.

1
R15

Hmmm.

Cela dit "utiliser le client Cisco" me fait penser que vous utilisez déjà un VPN.

Il semble étrange lorsque vous êtes le fournisseur de services que votre client doit dicter la manière dont vous fournissez ce service. Particulièrement s'il s'agit d'un service purement technique (par exemple une application Web). Je peux comprendre que si elle est plus d'un service d'entreprise - telle que la gestion de plusieurs périphériques au sein du réseau des clients, une VPN serait la bonne solution - mais pour une sorte de service d'application, un VPN est la mauvaise approche - par défaut, il donne Trop d'accès que vous devez ensuite adapter au minimum nécessaire pour effectuer la fonction. OTOH utilisant un service emballé TLS, avec validation du certificat client, protège à la fois vous et votre client.

Étant donné que vous semblez être dans la situation où votre client pense qu'un site à site est la seule solution viable, il est bien sûr tout à fait possible de configurer un "réseau" à votre fin qui (de votre perspective) semble faire partie de Le réseau du client et implémente simplement une meilleure solution de connectivité de là dans votre réseau actuel. Mais c'est la plupart des conjectures - je ne sais rien de ce que ce service est, ni les motivations de vos clients - vous devez vraiment leur parler et comprendre le problème correctement (ou fournir plus d'informations ici).

1
symcbean