none
GPO Forcer et restreindre les flux à la connexion IPSEC RRS feed

  • Question

  • Bonjour à tous,

    Je cherche actuellement à protéger mes postes nomades afin qu'il n'accède en claire qu'aux flux lui permettant de monter le tunnel VPN et en seconde étape forcer tout le flux dans ce tunnel monté.

    Pour la première étape de restriction des flux, c'est bon j'ai autorisé seulement en outgoing : le DHCP / ESP / AH et 500 et 4500 et Inbound : DHCP

    Mais c'est la seconde étape qui me pose probleme, je n'arrive pas à forcer tous les flux dans ce tunnel monté. J'ai beau rajouté une règle "ALL Flux" avec en outgoing avec action "Allow the connection if it is secure"> Allow the connection if it is authentificated and integrity-protected. Du coup j'ai bien mon tunnel monté mais la reglèe ne match pas j'ai l'impression.  

    Si quelqu'un a une solution ?

    Je vous remercie par avance

    Je vous remercie par avance

    mercredi 24 juin 2020 13:49

Réponses

  • Bonjour,

    J'ai trouvé la solution à mon probleme : 

    • Bloquer tous les règle parfeux qui ne match pas
    • Autorisé en incoming seulement le DHCP
    • En outgoing les ranges privés + les flux necessaires à monter le tunnel VPN ( AH, ESP ... a destination de la passrelle)

    Test concluent ! Pas d'internet , que du VPN ! 

    Voulou pour le retour , je cloture le ticket

    • Marqué comme réponse Cu8itus jeudi 9 juillet 2020 07:11
    jeudi 9 juillet 2020 07:10

Toutes les réponses

  • Bonjour Cubitus,

    Si je comprends bien ton cas d'usage :

    • Poste et utlisateur nomade hors réseau d'entreprise.
    • Aucune communication si pas de tunnel VPN IPSEC monté avec ton réseau d'entreprise
    • Tous les flux doivent passer par ce tunnel, et pas seulement les flux à destination de ressources internes de l'entreprise.

    Cela se fait par GPO. Quelques exemples ci-dessous :

    https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/securing-rdp-with-ipsec/ba-p/259108

    https://it.cornell.edu/managed-servers/secure-windows-traffic-ipsec

    Cependant, une machine qui n'est pas sur le réseau de l'entreprise ne se prendra pas les GPOs. Il faudra donc mettre en place une stratégie locale sur les postes.

    cordialement

    Olivier

    jeudi 25 juin 2020 07:10
  • Bonjour Cu8itus,

    Avez-vous avancé dans la résolution de votre problème? Si les conseils des intervenants vous ont aidé, merci de les marquer comme réponse. Si non, je vous prie de contribuer à la communauté en partageant la solution choisie.

    Je vous remercie par avance pour votre retour.

    Cordialement,

    Biliana


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votreproblème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    mercredi 1 juillet 2020 14:49
    Modérateur
  • Bonjour,

    Merci pour les liens, j'ai étudié cela et dans le premier cas nous somme sur la restriction d'un flux spécifique. Cependant moi j'aimerai restreindre les flux à monter le tunnel puis autoriser tous les flux dans le cas ou ils sont encapsulé IPSEC. Et c'est là que je galère à trouver une solution.

    Pour le second liens, on est sur la creation d'un Tunnel IPSEC entre un serveur et un client. Pour ma part ma tunnel se connecte sur un firewall stormshield...

    Cependant si je trouve une astuce je vous tiendrai au courant

    jeudi 2 juillet 2020 13:02
  • Bonjour,

    J'ai trouvé la solution à mon probleme : 

    • Bloquer tous les règle parfeux qui ne match pas
    • Autorisé en incoming seulement le DHCP
    • En outgoing les ranges privés + les flux necessaires à monter le tunnel VPN ( AH, ESP ... a destination de la passrelle)

    Test concluent ! Pas d'internet , que du VPN ! 

    Voulou pour le retour , je cloture le ticket

    • Marqué comme réponse Cu8itus jeudi 9 juillet 2020 07:11
    jeudi 9 juillet 2020 07:10