Bonjour à tous,

Je suis confronté au sein de mon entreprise à une problématique qui dépasse mon champ de compétence et apprécierai un peu d’aide.

Contexte :
Nous avons des utilisateurs nomades qui se connectent à distance (depuis chez eux ou dans le train) au réseau interne de l’entreprise, en montant un tunnel VPN SSL avec la solution Juniper.
–> Ils ont ainsi accès à leurs emails et à toutes les applications internes et l’intranet.

Problématique :

• Aujourd’hui, une fois le VPN monté, les utilisateurs ont accès à l’ensemble du réseau interne sans exception, or mon entreprise souhaite bloquer l’accès à certaines URL correspondant à certaines applications jugées critiques.
• Nous avons initialement pensé à implémenter des restrictions au niveau de la solution VPN SSL mais celle ci ne permet de restreindre les éléments du réseau interne accessibles que via les adresses IP.
  –> Une adresse IP correspond à un seul serveur qui contient plusieurs applications identifiées par des URL, et nous voulons avoir une solution qui puisse donc filtrer par URL

==>Besoin :
Il nous faut donc une solution (logiciel sur le poste, ou serveur firewall/proxy à installer au niveau de l’infrastructure …) qui puisse identifier que l’utilisateur est connecté au réseau interne via le VPN, et lui interdise l’accès à certaines URL correspondant à des applications critiques (blacklist?).
Ces même applications doivent lui être accessibles quand il est connecté depuis le LAN de l’entreprise.

J?espère avoir été clair dans mon explication. Je tiens juste à préciser que je ne suis pas expert et apprécierai des réponses avec un jargon pas trop technique.

Je vous remercie d’avance pour vos retours.

Tes utilisateurs VPN arrivent avec une range d’IP ou un VLAN défini ? donc facile ensuite via un masque ou des ACL de leur donner ou pas accès à certaines ressources.

Ne pas utiliser de jargon (trop) technique serait la source d?incompréhension. La meilleur solution, à mon humble avis serait de faire appel à un professionnel pour ce genre de paramétrage si on ne le maîtrise pas.

Bonjour Olafkewl,

Merci pour ton retour, j’ai effectivement des ranges d’IP pour les utilisateurs se connectant en VPN, et j’ai pensé à des ACL, mais on ne peut faire qu’un filtrage sur des IP avec. Là est tout mon problème, j’ai besoin d’une plus grande granularité avec un filtrage sur des URL.

Par exemple, un utilisateur appartenant au range d’IP A a accès aux applications identifiées par l’URL1 et l’URL2. Un utilisateur appartenant au range d’IP B a accès aux applications URL3 et URL4, etc.

@DjiDji, je ne vois pas ton message
Edité le 22/04/2014 à 15:20

Bonjour,
je ne sais pas quelle solution Juniper, tu possèdes mais tu peux le faire avec un User Role auquel tu assignes une Web Access Policie ça marche en tout cas sur un MAG.
Edité le 22/04/2014 à 13:07

Bonjour ti4444,

Merci pour ta réponse.

Je me trompe peut-être mais de ce que je sais, les Web Acess Policies permettent de filtrer l’accès à internet, en d’autre termes bloquer des sites Web.

Ce que je cherche à faire ici, c’est de bloquer l’accès à une partie du réseau interne de mon entreprise depuis l?extérieur. Soit, bloquer certaines URL internes de type : intranet.entreprise.fr/ResultatsF tout en autorisant intranet.entreprise.fr/imputations par exemple.

Si ton équipement serveur VPN ne le permet pas, je ne vois que la solution “htaccess” ou équivalent pour interdire l?accès aux IPs venant du VPN. Par contre, tu vas être obligé de le mettre en place sur toutes les applications WEB…

Merci pour vos retours.

Il semblerait qu’un proxy en frontal de mes serveurs applicatifs devrait faire l’affaire. Il faudra pousser le proxy.pac sur les postes et celui-ci devrait pouvoir bloquer les accès non autorisés.

Sinon, la seule autre solution serait le htaccess comme dit Olafkewl, mais n’ayant pas la main sur les serveurs applicatifs, je laisserai ça en dernier recours.

Je vous tiendrai au courant de ce que ça donne.