Pour l’accès distant à la base de données de mon logiciel métier, l’éditeur me demande de mettre en place un VPN.
J’hésite entre refiler directement le bébé à la société d’informatique qui gère nos machines, ou m’en occuper moi-même, selon le niveau de difficulté du truc. Sauf que je n’ai jamais eu à utiliser ce genre d’outils, et je n’y connais à peu près rien, à part les pubs NordVPN pour les gens qui veulent avoir l’impression d’être anonymes sur internet, et le fait qu’il me semblait qu’il y avait désormais un outil inclus dans Windows. Et concernant cet outil, les tutos que j’ai trouvés sont uniquement pour faire communiquer son PC avec internet via un VPN commercial, et pas ce que je veux faire, à savoir que mes machines hors-site aient accès au réseau virtuel du cabinet.
Le parc est uniquement du Windows, 10 en quasi totalité (il y a peut-être un 7 sur une machine perso d’un collègue).
My 2 cents:
Il s’agit de mettre en place un accès distant sur des machines de ton parc. Les questions de sécurités sont donc essentielles.
Pour ces raisons, ça dépend bien sûr de ta base de données, mais je confirais ces trucs à des gens dont c’est le métier c’est-à-dire dont ça sera la responsabilité.
En cas de pb. Même si le niveau de difficulté n’est pas important.
est-ce que t’as vu ce tuto ?
Techniquement, tu peux faire un vpn toi même mais ça dépend tellement de ta box (il me semble qu’orange pro le propose mais c’est pas donné) mais aussi du temps que tu as a y consacrer (car ça nécessite de la maintenance)
Bref, te fais pas chier avec ca, car tu auras les pires emmerdes. Demande a ton presta de le faire et voit le cout d’un support hotline quand ca déconne (ou plus probablement, quand tes confrères ne se souviennent plus comment ca marche )
Si il y a un service IT ou au moins un admin réseau, c’est son boulot laisse faire l’expert.
Si personne n’est en charge de cette partie, il va falloir « trouver » un candidat pour être le serveur VPN sur ton réseau local interne. ça peut être le routeur (on oublie les box opérateurs qui ont souvent des serveur VPN embarqué de merde) ou un NAS (Synology par exemple, mais j’imagine que les autres grandes marques le font aussi), voir un serveur Windows (ou Linux mais là ça va devenir tout de suite nettement plus compliqué). Ensuite au choix tu préféreras utiliser un annuaire déjà présent (du style Active Directory) pour valider les accès utilisateurs ou des comptes créés pour l’occasion sur le serveur qui aura été choisit.
Alors ce genre de truc on le fait tous les jours par chez nous. La mise en place d’un vpn et la sécurisation ne sont pas spécialement compliqués à mettre en place… du moment que tu disposes de matos adéquat du style watchguard ou fortigate que tu peux caler derrière ton modem FAI. Donc le vpn via windows, c’est niet, nuh uh, jamais de la vie. A la grande limite on peut avoir un serveur vpn sur un syno mais avec des bons gros mots de passe des usernames abscons pour pas qu’un petit malin les devine.
Ton VPN n’est pas « plus fort » si c’est un WatchGuard ou un Fortigate qui le fournis. ça reste souvent du bête OpenSSL rebrandé pour faire plus sérieux.
Du moment que c’est un VPN correctement monté (avec donc un protocole de chiffrement récent, du genre on oublie le PPTP directement) et que les comptes sont suffisament sécurisé (avec des ID fédérées c’est toujours plus « facile ») ça ira.
Je parle pas du fait que ce soit « plus fort » si c’est un forti ou un watchguard, mais bien d’avoir un device dédié à la tâche et pas taper ça sur un serveur windows.
Une solution basée sur OpenVPN est probablement ce qu’il y a de mieux à mettre en place. Il y a des clients pour après tout (PC Win/Linux, Mac, Android, iOS) et ça fonctionne plutôt bien.
La question principale va être de savoir si tu vas pouvoir rajouter ça directement à la fonctionnalité routeur/FW déjà en place (probablement la box du FAI, auquel cas ce n’est en général pas faisable), ou si tu vas devoir mettre en place une « boite » dédiée qui fera office de VPN gateway.
Côté serveur, n’importe quelle distribution Linux/Unix peut faire tourner ça. Il y a des scripts qui permettent de rendre le processus d’install/config un peu plus facile sur Linux (exemple ici ou là).
La meilleure option, en terme de serveur, reste sans doute de partir sur pfSense ou OPNsense (ce dernier est un fork du premier, tous deux basés sur FreeBSD) dont la fonction première est d’être un routeur/FW. Ils ont l’avantage de proposer un webgui et d’avoir de la doc relativement bien détaillée (genre ici ou là).
Mettre en place ce genre de solution nécessite d’avoir un certain niveau de compétences réseaux (routage, nat, firewalling, etc.) et systèmes Linux/Unix (gestion package, configuration des services, etc.).
Je ne peux d’ailleurs qu’abonder dans le sens de ce qui a été dit précédemment : refiler la gestion et la responsabilité de tout ça à quelqu’un dont c’est le métier. Tu parles quand même d’un accès privé à des données de patientèle confidentielles, ça pose donc forcément des questions de sécurité.
D’ailleurs, quand bien même tu serais tout à fait capable de mettre ça en place (tu peux déjà t’entrainer à mettre ça en place @home pour le fun), cela signifie que tu seras le référent technique pour tes collègues utilisateurs de la solution. C’est donc tout naturellement vers toi qu’ils se tourneront quand ça va merder (car la question n’est pas si, mais quand). Seras-tu alors capable d’investiguer et résoudre les problèmes ?
)