Nombreux sont ceux qui utilisent Remote Desktop pour prendre en charge la connexion à distance d’ordinateurs personnels ou de portables d'entreprise via un réseau privé virtuel (VPN). Microsoft a récemment donné quelques conseils sur l'utilisation d'une technique dite de « Split Tunneling VPN ». Le fournisseur teste également l'outil Office 365 Network Onboarding Tool pour vérifier votre connectivité et la configuration avec Office 365. Il faut indiquer son emplacement physique, puis saisir le nom de votre tenant pour télécharger l'outil. Vous devrez également installer .NET 3.1.3 Core pour effectuer le test avancé. Une fois l’installation achevée, l’outil vous informera sur l’utilisation des VPN, proxy ou autre connectivité, mais aussi sur l’usage des VPN en tunneling fractionné.
La sécurité du Split Tunneling en question
Les arguments en faveur de l’usage du Split Tunneling sont parfois radicaux. Par exemple, certains soutiennent mordicus qu’avec le tunneling fractionné, les VPN permettent de déplacer le trafic réseau utilisé pour la maintenance (mise à jour de Windows, installation de Click to Run Office 365) sur la connexion locale des utilisateurs sans augmenter les risques. D'autres affirment que si tout le trafic ne passe pas par le VPN de l'entreprise, il est impossible de l’inspecter pour assurer la sécurité de l'entreprise. Les problèmes de sécurité du VPN dépendent de la manière dont vous connectez le client ou le poste de travail au réseau. Si vous connectez un client distant à votre réseau en utilisant un réseau privé virtuel sans limiter ou sans appliquer de restrictions au poste de travail client, une machine infectée peut introduire des risques et des logiciels malveillants dans votre réseau.
Limiter les risques du Split Tunneling
Pour limiter le risque du tunneling fractionné, vous devez d’abord évaluer les options proposées par votre logiciel VPN. Plusieurs solutions VPN peuvent se connecter à distance à votre réseau : soit des VPN basés sur un logiciel, très souvent, le logiciel VPN natif de Microsoft livré avec chaque version de Windows ; soit des solutions VPN intégrés au pare-feu matériel. Demandez à votre fournisseur de pare-feu quelles sont les options dont vous disposez pour examiner le trafic VPN. D'autres affirment qu'à chaque fois que vous connectez un poste de travail à votre réseau d'entreprise, vous devez vous assurer que la machine est protégée par un certain niveau de correctifs, qu'elle dispose d'un antivirus avec des définitions à jour et qu'elle suit les autres conseils de santé préconisés par l’entreprise.
Des outils comme Network Access Protection for Windows fournis par Microsoft pour les plates-formes Windows 7, vous permettent de définir des politiques qui imposent des normes minimales aux machines, à défaut de quoi elles ne pourront pas se connecter au réseau. Vous pouvez par exemple mettre en place un serveur Network Policy Server (NPS) pour vous assurer que les postes de travail sont à jour en matière de correctifs, qu'ils exécutent une certaine version d'antivirus ou de définitions, ou d'autres politiques de sécurité que vous jugez appropriées. Vous pouvez ensuite configurer la protection d'accès au réseau Network Access Protection (NAP) pour n'autoriser les postes de travail à se connecter que s'ils répondent à ces exigences minimums. Sous Windows 10, vous pouvez utiliser de nombreux outils NPS à la place du NAP. Vous pouvez également utiliser des outils comme System Center Configuration Manager (SCCM) ou Intune pour Windows 10. Vous pouvez également demander à votre fournisseur de pare-feu de vous indiquer de quelles options dispose le service IT pour vérifier la santé des clients Windows 10 avant qu'ils ne se connectent à votre réseau. Vous pouvez également aller voir du côté de PacketFence, une plateforme open-source qui permet de vérifier l'état de santé des clients avant qu'ils ne se connectent à votre réseau.
Les entreprises ayant recours à Intune peuvent utiliser les règles de politique d'accès conditionnel pour déterminer si leurs machines Windows 10 sont suffisamment saines pour se connecter à votre réseau. Par exemple, avec les règles de politique d'accès conditionnel et le gestionnaire de configuration, elles peuvent demander au système de vérifier si l'ordinateur a les capacités suivantes :
- BitLocker, pour assurer le cryptage de toutes les données stockées sur le volume du système d'exploitation Windows.
- Code Integrity, pour valider l'intégrité d'un pilote ou d'un fichier système à chaque fois qu'il est chargé en mémoire.
- Lancement précoce d’un anti-malware (s'applique uniquement aux PC), pour protéger les ordinateurs au démarrage et avant que les pilotes tiers ne s'initialisent.
- Secure Boot, pour s'assurer qu'un PC démarre uniquement avec des logiciels auxquels le fabricant du PC fait confiance.
Des politiques de santé pour les appareils
Par ailleurs, les outils du système interne de détection des intrusions (IDS) et du système de prévention des intrusions (IPS) peuvent inspecter votre trafic, examiner le trafic qui entre et sort de votre réseau, et limiter l'accès des postes de travail à des ressources spécifiques. Les modules de sécurité comme Carbon Black Endpoint Response, Wazuh, Ossec ou même Malwarebytes avec les modules Suspicious Activity sont compatibles avec des configurations de tunneling fractionné. Si les appareils distants utilisent des ressources d'entreprise, vous pouvez installer des agents d'extrémité sur ces machines pour les surveiller ou leur appliquer des correctifs, qu'elles soient connectées ou non au réseau privé virtuel. Si vos employés doivent travailler à domicile avec leurs ordinateurs personnels, vous pouvez mettre en place un serveur RDSH (Remote Desktop Session Host) et proposer des bureaux virtuels au lieu de permettre aux appareils personnels de se connecter à votre réseau via un VPN. Certes, le tunneling fractionné de VPN présente des risques. Mais, pas moins que toute ressource se connectant à votre réseau. Assurez-vous que vous pouvez examiner le trafic et réagir à toute menace susceptible de cibler votre réseau.
Commentaire