j'ai compris

[Dr.WoW] [No.46] Utilisation intégrée des quatre principales fonctions VPN SSL

publié il y a  2020-3-31 21:44:27 79 0 0 0 0

Après avoir terminé leur examen de l'extension du réseau, la plupart des lecteurs seront un peu confus, et se demandent pourquoi, si l'extension du réseau est si puissante, ne pouvons-nous pas simplement utiliser le service d'extension du réseau pour un utilisateur quel que soit le type de ressource réseau interne de l'utilisateur veut accéder ― pourquoi utilisons-nous toujours le proxy Web, le partage de fichiers, etc.?

C'est une question clé. La prestation de services des VPN SSL à autant de couches différentes et de granularités différentes consiste à contrôler les autorisations d'accès des utilisateurs distants aux systèmes de réseau internes; en fin de compte, cela est fait pour un seul objectif: la sécurité. Lorsque le service d'extension réseau est utilisé, cela signifie qu'un utilisateur distant peut accéder à tous les types de ressources dans le réseau interne de l'entreprise. Bien que cela soit très pratique pour l'utilisateur, cela augmente sans aucun doute le risque de gestion et de contrôle des ressources réseau internes. Répondre aux besoins de l'utilisateur et contrôler correctement les autorisations nécessite de configurer différents services pour l'utilisateur en fonction de ses besoins, évitant ainsi le problème susmentionné.

La figure 1-1 montre un scénario de réseau hypothétique dans lequel une certaine entreprise a déployé un équipement de pare-feu et fourni un service VPN SSL pour les employés en déplacement de l'entreprise.

Figure 1-1 Scénario intégré SSL VPN


[Dr.WoW] [No.46] Utilisation intégrée des quatre principales fonctions VPN SSL-1340373-1


Les besoins des utilisateurs distants de l'entreprise en matière d'accès au réseau interne et le plan sur le pare-feu pour ouvrir les services VPN SSL pour les employés en déplacement sont présentés dans le tableau 1-1 .

Tableau 1-1 Plan de service VPN SSL

Identité des employés itinérants

Besoin d'accès

Type de service

Autorisation de rôle

Employés ordinaires

Accéder au système OA

proxy Web

Créer un www.oa.com dans le service de proxy Web et liez cette ressource à un employé ordinaire ou au groupe auquel appartient l'employé ordinaire.

Utilisez le système de messagerie de l'entreprise pour envoyer et recevoir des e-mails

Transfert de port

Créez une ressource de serveur de messagerie dans le service de transfert de port et liez cette ressource à un employé ordinaire ou au groupe auquel appartient l'employé ordinaire.

Managers

Accéder au système OA et au système financier

proxy Web

Créez deux ressources - www.oa.com (déjà créé) et www. finance.com ― dans le service de proxy Web et liez ces ressources à un responsable ou au groupe auquel appartient le responsable.

Accéder au serveur de partage de fichiers

Partage de fichiers

Créez une ressource de serveur de fichiers dans le service de partage de fichiers et liez cette ressource à un gestionnaire ou au groupe auquel le gestionnaire appartient.

Utilisez le système de messagerie de l'entreprise pour envoyer et recevoir des e-mails

Transfert de port

Créez une ressource de serveur de fichiers dans le service de transfert de port et liez la ressource de serveur de messagerie à un gestionnaire ou au groupe auquel appartient un gestionnaire.

Convoquer des téléconférences

Extension réseau

Activez la fonction d'extension réseau et configurez l'adresse du serveur vocal dans "le segment de réseau interne accessible", puis liez le service d'extension réseau à un gestionnaire ou au groupe de gestionnaires.



Une fois la configuration du service réseau terminée, lorsque des utilisateurs ayant des identités différentes se connectent à la passerelle virtuelle, les ressources de service qu'ils peuvent voir sont également différentes.

l    Employés ordinaires

Une fois que les employés itinérants ordinaires se sont connectés à la passerelle virtuelle, ils peuvent voir les liens de ressources auxquels ils peuvent accéder, comme illustré à la figure 1-2 , puis y accéder en cliquant simplement sur le lien.

Figure 1-2 Interface de connexion des employés ordinaires


[Dr.WoW] [No.46] Utilisation intégrée des quatre principales fonctions VPN SSL-1340373-2


l    Managers

La figure 1-3 montre l'interface que les gestionnaires itinérants voient après la connexion à la passerelle virtuelle.

Figure 1-3 Interface de connexion du gestionnaire


[Dr.WoW] [No.46] Utilisation intégrée des quatre principales fonctions VPN SSL-1340373-3


Parmi ceux-ci, les ressources de proxy Web et de partage de fichiers sont toutes fournies pour la sélection par l'utilisateur à l'aide de liens. La redirection de port et l'extension réseau ne peuvent être utilisées qu'après avoir cliqué sur «Activer». Mais comment un utilisateur distant sait-il à quelles ressources du réseau interne de l'entreprise il pourra accéder après avoir cliqué sur Activer? Cela nécessite que l'administrateur réseau utilise d'autres canaux, par exemple un bulletin, pour informer l'utilisateur distant du nom et de l'adresse du domaine du serveur de ressources réseau interne de l'entreprise. À cet égard, le proxy Web et le partage de fichiers sont tous deux avantageux, car lorsque l'utilisateur distant utilise ces deux services, il / elle peut voir les ressources auxquelles il / elle peut accéder à partir de la liste des ressources après s'être connecté à la passerelle virtuelle.

La relation entre le besoin d'un utilisateur distant d'accéder au réseau interne de l'entreprise et le type de service VPN SSL à activer sur le pare-feu peut être décomposée en deux points.

l    Le type de ressource (ressource Web, ressource de fichier, TCP, IP) auquel l'utilisateur distant accède sur le réseau interne de l'entreprise détermine le type de service VPN SSL que l'administrateur réseau doit sélectionner.

Par exemple, pour un employé en déplacement qui n'a besoin que d'accéder aux ressources Web et aux ressources de messagerie, seuls deux services, proxy Web et redirection de port, peuvent être activés. Cependant, si un gestionnaire doit accéder à quatre types de ressources, cela nécessite que quatre types de services soient lancés pour cet utilisateur.

Il est nécessaire de déclarer que l'extension du réseau étant équipée des fonctionnalités des trois anciens services, pour rendre la configuration plus pratique, nous pouvons également activer uniquement le service d'extension du réseau pour le gestionnaire, ce qui permet au gestionnaire d'accéder à toutes les IP du réseau interne Ressources.

l    Le fait que l'utilisateur distant possède des autorisations d'accès à une certaine ressource est déterminé par la configuration de l'autorisation de rôle.

Afin d'éviter d'avoir à configurer l'autorisation de services pour chaque employé, nous pouvons établir deux groupes (employés ordinaires et gestionnaires), ajouter ces deux types d'employés dans le groupe approprié, puis simplement effectuer une autorisation de service pour ces deux groupes de rôles.

Par exemple, si un employé itinérant et un responsable activent tous deux le service proxy Web, l'employé itinérant ne pourra accéder qu'au système OA (www.oa.com), tandis que le responsable pourra bénéficier d'autorisations d'accès au système OA et le système financier (www.finance.com) en même temps ― cela aurait été configuré dans l'autorisation de rôle.





Questions du Dr WoW:

1.          Pendant le protocole de prise de contact SSL, afin de résoudre les problèmes de l'algorithme de cryptage à clé publique étant trop compliqué et la charge de calcul de cryptage / décryptage étant trop importante, quels types de méthodes peuvent être adoptées pour augmenter l'efficacité?

2.          La fonction de partage de fichiers prend-elle en charge la création de nouveaux fichiers?

3.          Après qu'un employé en déplacement se connecte à un VPN SSL, il découvre que la liste des ressources est vide, mais se souvient soudain que son administrateur lui a donné une solution secrète. Quelqu'un peut-il deviner le contenu de cette solution secrète?

4.          Quelle est la relation entre Web-Link et la redirection de port?

5.          Dans les VPN SSL, si le client et le serveur utilisent tous les deux un ou des certificats pour vérifier l'identité de l'autre, quel (s) certificat (s) le client et le serveur doivent-ils respectivement acquérir?



Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.