Seb le 02 Février 2008 à 16:43

C'est intéressant et évidement ce n'est pas forcément le genre de cas que l'on pense à concevoir lors de la mise en place des règles de firewall classique.
Pourtant j'imagine que la plus simple des manières de contourner ce problème se trouverait dans une bonne règle de pare-feu, qui empêcherait tout établissement d'une connexion VPN non autorisée.

Par contre pourquoi s'en prendre à Hamachi ? A part sa grande facilité d'utilisation, il n'est pas forcément plus dangereux qu'un VPN classique à priori, à part que l'usage d'un serveur VPN tiers rend la connexion anonyme. Rien n'empêche un pirate expérimenté d'avoir son propre serveur de VPN quelque part sur le net.

Lionel le 02 Février 2008 à 17:04

Je pense que Max à parlé de Hamachi parce qu'il n'y a absolument aucune vérification pour rejoindre un réseau connu sans mot de passe, alors qu'avec des logiciels comme open VPN par exemple qui est utilisé au CNRS, tu peux utiliser des certificats pour t'assurer de l'identité de la personne qui arrive, maintenant je ne sais pas si ils sont demandés par défaut ou bien si tu dois les demander.

Ce qui est sur c'est que le VPN est un super outil mais à mettre entre de bonnes mains ;)

farwarx le 02 Février 2008 à 20:37

Rien à voir Lionel. Relis le dossier.
La faille est dû l'accès au réseau local de l'entreprise en passant outre le firewall.

farwarx le 02 Février 2008 à 20:38

Argh Seb, relis la conclusion.

Lionel le 02 Février 2008 à 20:53

Beh désolé mais je vois toujours pas en quoi Hamachi se differencie d'un autre VPN bien sur il crée un réseau mais au final qu'est ce que ca change ?

Si tu dois aller dans l'entreprise et installer hamachi et laisser l'ordinateur allumé, cela reviens au même que d'y installer un client VPN quelconque et de le laisser allumé ?

Ou alors je rate quelque chose, je suis pas du tout callé en VPN mais je vois pas trés clair la Max.

farwarx le 03 Février 2008 à 1:36

Cela ne revient pas au même justement. La différence critique se porte sur le "serveur" comme je l'appelle, le tiers.
En effet, avec un VPN classique, pour pouvoir rentrer dans le réseau de l'entreprise, il faut que le tunnel soit créer de l'intérieur (quand je parle des règles de firewall).
Avec Hamachi, tout le monde se connecte à un tiers pour avoir le réseau et les "amis", donc le firewall laisse passer.
La connexion est initiée d'elle même vers l'extérieur.
Voilà, là où est le problème.

J'espère que je t'ai éclairci la chose.

Lionel le 03 Février 2008 à 11:17

Ah d'accord, je comprend mieux ce que tu veux dire mais la tu part du principe qu'il existe des régles de pare-feu pour le VPN (parce que sans, je pense que tu peux créer ton tunnel de l'exterieur) et pas pour Hamachi (ce qui doit être le cas dans de nombreuse entreprises :p)

Effectivement je comprend qu'il puisse poser problème mais je pense que rien n'empeche d'en interdire son fonctionnement, ou plutot de le bloquer au niveau du pare-feu, non ?

Car même si le réseau est externe, le client doit toujours se connecter depuis l'intérieur, des données sont forcements envoyées et controlables.

farwarx le 03 Février 2008 à 13:33

Alors, concernant les règles, le principe que tu dis, et que j'explique dans le reportage (interdire en entrée, autoriser en sortie) et par défaut dans tous les firewall de type box).
Il n'y a pas de règle VPN justement et le moyen le plus approprié est d'interdire les flux cryptés sur le réseau local de l'entreprise (car tout ce qui est crypté est forcément dangereux, principe de sécurité réseau, car ce qu'on ne connait pas est à interdire, on pourra en débattre si vous voulez, mais pas ici ce n'est pas le sujet).
Les autres moyens se situeraient au niveau 3 du modèle OSI, sur les paquets IP. Il faudrai analyser les paquets émis de différents VPN pour créer des règles strictes.
La manière la plus simple de l'administrateur, mais pas forcément la plus sure (s'il ne maitrise pas l'administration système), est de ne pas donner les droits d'administrateur local aux employés, et là, Hamachi ne pourra pas finir son installation (la carte réseau virtuelle requiert des droits d'administration locale).
Je sais que l'on peut faire beaucoup de chose au niveau "administration locale" des ordinateurs, mais il faut savoir que 80% des attaques numériques en entreprises proviennent de l'intérieur.

Baptiste le 18 Février 2010 à 12:08

Hamachi doit être installé directement le poste/serveur qu'on veut rendre accessible à distance, cela nécessite d'avoir un accès à la machine ET les autorisations.
Pour se connecter à distance sur le poste via Hamachi il faut tout de même un login et mdp de session (user ou admin) sans ces login la personne pourra se connecter au mieux sur les dossier partagés à tout le monde.

Bref beaucoup trop de condition (accès à la machine, connaissance des login et mot de passe, autorisation necessaire) pour pouvoir douter de la fiabilité d'Hamachi. Ca reviendrait au même de prendre un disque externe de copier les disque et de rentrer chez soit.

farwarx le 18 Février 2010 à 16:58

Baptiste > ton commentaire ressemble étrangement à celui de dje-dje sur comment ça marche. Je te conseille de lire ma réponse sur ce dernier et de relire le billet.
Je ne doute aucunement de la fiabilité d'Hamachi, mais plutôt de celle des utilisateurs ;)
Hamachi est un outil performant.