7 votes

Utilisateur non enregistré avatar

HTTPS vs. VPN pour la communication entre partenaires commerciaux ?

Demandé el 14 de Août, 2009
Quand la question a-t-elle été
17855 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Un partenaire commercial m'a demandé de mettre en place un VPN site à site afin que quelques serveurs puissent communiquer entre eux par HTTPS. Je suis convaincu que ce n'est pas nécessaire, ni même souhaitable. Pour être honnête, cela doit faire partie d'une politique plus large, voire d'une obligation légale. Cependant, j'aimerais les convaincre de simplement nous offrir une IP (et seulement à nous) et un port de leur choix pour HTTPS.

Quelqu'un a-t-il vécu une expérience similaire, ou a-t-il dû trouver un argument en béton contre un VPN ?

Permettez-moi de m'étendre un peu : nous avons un service Web qui établit une connexion avec le service correspondant du partenaire en utilisant une connexion HTTP cryptée. La connexion utilise un certificat client pour s'authentifier. La connexion est protégée par un pare-feu de sorte que seules nos IP peuvent contacter le service. Alors pourquoi un VPN est-il nécessaire ?

Demandé el 14 de Août, 2009 par Utilisateur non enregistré

Réponses

Trop de publicités?

8voto

Grant Johnson avatar
Grant Johnson Points 968

Je dirais que le VPN peut être considéré comme une défense en profondeur. Regardez toutes les attaques récentes contre SSL et HTTPS, qui rendent la communication cassable. Si vous disposez d'un VPN entre les sites qui n'est pas basé sur SSL, vous ne faites qu'ajouter une autre couche de défense.

De plus, s'ils veulent aller au-delà de HTTPS à l'avenir (et ils le feront très probablement, tout le monde le fait), le VPN peut s'y adapter.

Je soutiens la suggestion d'Alnitak de faire une authentification mutuelle avec SSL, ce qui nécessitera des certificats des deux côtés.

Répondu el 14 de Août, 2009 par Grant Johnson (968 Points )

6voto

Joey deVilla avatar
Joey deVilla Points 4487

La superposition de HTTPS à un VPN semble légèrement excessive, étant donné que tout est crypté deux fois, mais ce n'est que légèrement excessif.

Si vous décidez d'un commun accord d'utiliser le protocole HTTPS sans VPN, utilisez au moins des certificats côté client et pas seulement des mots de passe. Cela serait plus sûr que de permettre à n'importe quelle machine de l'un ou l'autre site de se connecter, et empêcherait quelqu'un qui réussirait à trouver un mot de passe d'accéder au système.

Répondu el 14 de Août, 2009 par Joey deVilla (4487 Points )

2voto

SteveCl avatar
SteveCl Points 1655

Selon moi, un VPN est obligatoire lorsque vous voulez communiquer entre deux réseaux et le HTTPS est "facultatif" (mais il peut être souhaitable, ne serait-ce que pour l'argument de la "défense en profondeur").

Une fois que le VPN fonctionne, il est facile d'exécuter le service que vous voulez dessus, et tout le travail lié à la sécurité est déjà fait, y compris tout problème de NAT, et aussi le masquage de vos ports de l'extérieur.

Pensez à l'avenir, que se passera-t-il si vous souhaitez ajouter d'autres services ? Allez-vous vous servir de votre service Web HTTPS ? ou utiliser un autre port, et répéter toutes les validations de sécurité requises ? Avec un VPN en place, c'est très simple à faire.

Répondu el 14 de Août, 2009 par SteveCl (1655 Points )

1voto

Chopper3 avatar
Chopper3 Points 99341

Le VPN devrait/peut est beaucoup plus sûr que HTTPS, mais il ne devrait pas y avoir de problème à utiliser les deux ensemble, sauf si vous êtes sur une liaison très lente. J'accepterais simplement la complexité en sachant que vous serez étanche.

Répondu el 14 de Août, 2009 par Chopper3 (99341 Points )

1voto

gabbelduck avatar
gabbelduck Points 329

Si c'est une excuse pour budgétiser un dispositif VPN séparé à cette fin, choisissez-en un et allez-y (j'aime bien Juniper). Les nouvelles exigences ne sont pas gratuites. N'oubliez pas de prendre une paire tolérante aux pannes.

J'irais avec le VPN - assurez-vous simplement que le coût supplémentaire de capex/open pour l'entreprise en raison de la demande ne soit pas absorbé en silence - assurez-vous que ce soit clair.

Vous ne pouvez pas répondre vous-même à la plupart des questions ici - techniquement, HTTPS devrait être suffisamment sécurisé s'ils font les choses correctement, mais il peut y avoir d'autres choses en ce qui concerne l'administration et qui sait quoi qui rend le VPN attrayant. Peut-être veulent-ils simplement fonctionner dans un espace IP privé plutôt que public.

Il pourrait très bien s'agir d'une réglementation, auquel cas ils pourraient être tenus de faire toutes sortes de choses que vous ne prévoyez pas.

Répondu el 14 de Septembre, 2010 par gabbelduck (329 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X