par
Nagol » 24 mai 2013, 16:34
Ta solution SSL est bonne mais elle est beaucoup plus compliquée à gérer qu'une ip dans un firewall, il faut distribuer le certificat, que les clients l'installent comme il faut et selon les OS ça peut devenir un vrai cauchemard
C'est pour ça que le sysadmin est un métier...
Pour la distribution tu peux faire un tuto pour les 4 grands navigateurs: Internet Explorer, Firefox, Safari, Chrome
Je vois pas la difficulté, ou le rapport avec un sysadmin, et je crois que tu banalise un peu trop le fait de faire appel au compétences de tes utilisateurs, la solution à base d'IP est largement plus simple, en fait je crois pas que ce soit trop réalisable dans la vrai vie ce que tu proposes.
donc je ne comprend pas bien comment ton argument contre les IP dans le firewall peut t'amener à proposer une solution aussi lourde en gestion.
Lourde en gestion pour l'administrateur si le client a une IP qui n'est pas si fixe que cela. Le filtrage par IP est une solution qui ne marche et qui n'est sécure que dans très peu de cas.
Je crois que la encore tu n'es pas en phase avec la réalité du monde, tous le monde a une ip fixe déja et il n'y a aucune lourdeur à gérer ce genre de choses, je l'ai dit plus haut je le fais en vrai ça ne demande aucun boulot, ou difficulté.
Par exemple, tu whitelistes un LAN résidentiel:
* Déjà si tu es chez Orange c'est mort l'IP n'est pas fixe.
* Tu dois faire confiance à la totalité des utilisateurs derrière cette ligne.
* Un programme non autorisé (virus) qui s'exécutera sur un poste de cette résidence aura automatiquement les accès.
Autre exemple, tu whitelistes certaines IP de ton réseau VPN:
* N'importe qui peut facilement spoofer une des IP whitelistée (pas besoin de matos c'est très simple) et récupérer l'accès.
Bref filtrage par IP -> mauvaise solution dans la majorité des cas. Les technos de sécurité existent pour tous les cas d'usage où tu serais tenté par filtrer selon l'IP.
Cordialement
* Chez orange tu peux bénéficier d'une ip fixe sur demande je le faisais il y a des années de ça.
* avec un certif ssl tu dois aussi faire confiance à la totalité des utilisateurs derrière cette ligne, sans compte que le certif ssl il peut arriver ailleurs que la ou il était prévu
* pareil pour les virus et le SSL
* non le spoof n'est pas facilement accessible et encore une fois quelqu'un qui peut faire ça peut probablement faire pire et arriver à ses fins quelque soit la protection mis en place
bref, je ne vois pas la valeur ajoutée, et j'y vois des tas de problèmes de fonctionnement, comme quand tu parles de faire des tutoriels en ligne pour le certificat, et le certificat il est obtenu via le tutoriel ou via mail, ou via des systèmes qui ne sont pas plus sécurisé voire même moins, tout ça ne tient pas debout.
[quote="Sékiltoyai"][quote="Nagol"]Ta solution SSL est bonne mais elle est beaucoup plus compliquée à gérer qu'une ip dans un firewall, il faut distribuer le certificat, que les clients l'installent comme il faut et selon les OS ça peut devenir un vrai cauchemard[/quote]
C'est pour ça que le sysadmin est un métier...
Pour la distribution tu peux faire un tuto pour les 4 grands navigateurs: Internet Explorer, Firefox, Safari, Chrome
[/quote]
Je vois pas la difficulté, ou le rapport avec un sysadmin, et je crois que tu banalise un peu trop le fait de faire appel au compétences de tes utilisateurs, la solution à base d'IP est largement plus simple, en fait je crois pas que ce soit trop réalisable dans la vrai vie ce que tu proposes.
[quote="Sékiltoyai"]
[quote="Nagol"]
donc je ne comprend pas bien comment ton argument contre les IP dans le firewall peut t'amener à proposer une solution aussi lourde en gestion.[/quote]
Lourde en gestion pour l'administrateur si le client a une IP qui n'est pas si fixe que cela. Le filtrage par IP est une solution qui ne marche et qui n'est sécure que dans très peu de cas.
[/quote]
Je crois que la encore tu n'es pas en phase avec la réalité du monde, tous le monde a une ip fixe déja et il n'y a aucune lourdeur à gérer ce genre de choses, je l'ai dit plus haut je le fais en vrai ça ne demande aucun boulot, ou difficulté.
[quote="Sékiltoyai"]
Par exemple, tu whitelistes un LAN résidentiel:
* Déjà si tu es chez Orange c'est mort l'IP n'est pas fixe.
* Tu dois faire confiance à la totalité des utilisateurs derrière cette ligne.
* Un programme non autorisé (virus) qui s'exécutera sur un poste de cette résidence aura automatiquement les accès.
Autre exemple, tu whitelistes certaines IP de ton réseau VPN:
* N'importe qui peut facilement spoofer une des IP whitelistée (pas besoin de matos c'est très simple) et récupérer l'accès.
Bref filtrage par IP -> mauvaise solution dans la majorité des cas. Les technos de sécurité existent pour tous les cas d'usage où tu serais tenté par filtrer selon l'IP.
Cordialement[/quote]
* Chez orange tu peux bénéficier d'une ip fixe sur demande je le faisais il y a des années de ça.
* avec un certif ssl tu dois aussi faire confiance à la totalité des utilisateurs derrière cette ligne, sans compte que le certif ssl il peut arriver ailleurs que la ou il était prévu
* pareil pour les virus et le SSL
* non le spoof n'est pas facilement accessible et encore une fois quelqu'un qui peut faire ça peut probablement faire pire et arriver à ses fins quelque soit la protection mis en place
bref, je ne vois pas la valeur ajoutée, et j'y vois des tas de problèmes de fonctionnement, comme quand tu parles de faire des tutoriels en ligne pour le certificat, et le certificat il est obtenu via le tutoriel ou via mail, ou via des systèmes qui ne sont pas plus sécurisé voire même moins, tout ça ne tient pas debout.
