<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">
Defrag This

| Read. Reflect. Reboot.

Comment maintenir votre VPN en ligne lorsque tout le monde travaille à la maison

Jeff Edwards| July 21 2020

| monitoring, VPN

L'apparition du coronavirus et la pandémie mondiale qui a suivi ont poussé des millions d'employés à se mettre au télétravail. Ce changement radical dans les modèles de connectivité et la gestion de la main-d'œuvre a confronté certaines entreprises à des difficultés techniques, du fait que les équipes informatiques doivent assister des centaines, voire des milliers de travailleurs avec la capacité de réseau existante.

La charge du VPN, en particulier, peut être un obstacle. Dans cet article, nous passerons en revue trois moyens d'éviter la surcharge de votre VPN et d'assurer la continuité des activités lorsque le poids du télétravail est très important.

1. Utiliser le VPN à canal dédoublé

La plupart des VPN de bureau sont configurés pour acheminer tout le trafic par le canal VPN de l'utilisateur, afin d'inspecter et de surveiller le trafic. Non seulement le trafic de bureau est concerné, comme la demande de partage de fichiers, mais aussi le trafic non essentiel, et même le trafic à destination d’Internet. Dans le cas présent, chaque demande et réponse HTTPS doit joindre deux fois le côté amont et aval du réseau WAN du bureau, ce qui peut être pénalisant en matière de bande passante. 

Le pire, c'est que ce scénario n'est guère nécessaire lorsque le trafic vers des applications en ligne comme Office 365, Skype et Slack est déjà crypté. Dans ce cas, vous pouvez économiser beaucoup de bande passante en ignorant le réseau WAN du bureau et en laissant le trafic circuler directement de l'utilisateur vers le cloud.

En acheminant uniquement le trafic du bureau via un VPN dédié et en permettant d'acheminer directement tout le reste du trafic Internet à destination, vous pouvez réduire massivement le trafic VPN, ce qui est facile à faire : l'administrateur désactive simplement le routage global et n'achemine à la place que le ou les sous-réseaux du bureau via le VPN. Bien entendu, selon l'environnement réglementaire et de conformité en place, cette action peut être interdite ; il est donc important de vérifier d'abord.

Une autre méthode, si vous n'êtes pas prêt à renoncer à tout contrôle sur le trafic Internet, consiste à autoriser uniquement les services de confiance afin de contourner le VPN en toute sécurité. Microsoft a encouragé ses clients à adopter cette approche pour optimiser le trafic d'Office 365 et fournit une API pour identifier les points de terminaison de service MS, que vous pouvez interroger avec un script PowerShell

2. Formez vos utilisateurs et donnez la priorité à l'utilisation du VPN

Que vous utilisiez un VPN à canaux dédoublés par défaut ou non, il y a de fortes chances que vos utilisateurs sollicitent votre VPN beaucoup plus qu'ils ne le devraient. Au cours des dernières décennies, un grand nombre d'applications et de partages de fichiers qui nécessitaient un accès par VPN ont été remplacés par des applications SaaS. Ces dernières ont leurs propres règles de sécurité et n'ont pas besoin d'accéder au VPN. Malgré cela, de nombreux utilisateurs continuent d'utiliser le VPN pour les applications basées sur le cloud, comme Office 365, qui disposent de leurs propres pare-feu et filtres de protection et pour lesquelles un VPN n'est pas nécessaire. C'est pourquoi il est important de vous assurer que vous savez qui utilise votre VPN et pourquoi, et de préciser à vos utilisateurs les services nécessitant encore un VPN, et ceux qui n'en ont pas besoin. Ce faisant, vous pouvez réduire considérablement la charge du VPN, sans qu'il ne soit jamais nécessaire de mettre en place un canal dédoublé.

3. Surveiller les problèmes potentiels

Enfin, si vous souhaitez contrôler la bande passante utilisée par votre VPN, ainsi que l'intégrité de votre réseau WAN et de votre réseau en général, vous devez surveiller de près l'utilisation de la bande passante du réseau WAN, ainsi que les accès au VPN. N'importe quel outil de surveillance devrait vous permettre d'utiliser des sondages ou des alertes SNMP pour surveiller l'état du tunnel VPN. Il est aussi utile d'essayer de collecter le nom d'utilisateur, l'adresse IP, l'adresse locale, la version du client, la durée de connexion, l'heure de début/fin de connexion et le niveau d'utilisation de la bande passante, si possible. Ainsi, vous pouvez contrôler le nombre total de connexions au VPN, identifier les problèmes de bande passante et déterminer les besoins en capacités supplémentaires avant que la situation ne devienne problématique pour les utilisateurs. 

Il est également judicieux d'assurer une surveillance générale de la bande passante. La surveillance en temps réel permet aux administrateurs d'identifier les interfaces/liens/applications/utilisateurs/protocoles qui utilisent la bande passante et les gaspillages correspondants, ainsi que de libérer des ressources pour les applications critiques. Grâce à un outil de surveillance de réseau tel que WhatsUp Gold, vous pouvez effectuer un suivi de l'utilisation de la bande passante dans toutes les zones du réseau (périphériques, applications, serveurs, connexions de liaison, lignes louées, etc.) et vous tenir informé de l'utilisation de la bande passante sur le réseau et de l'analyse du trafic.

 

Topics: monitoring, VPN

Leave a Reply

Your email address will not be published. Required fields are marked *

THIS POST WAS WRITTEN BY Jeff Edwards

Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.

Free Trials

Getting started has never been easier. Download a trial today.

Download Free Trials

Contact Us

Let us know how we can help you. Focus on what matters. 

Send us a note

Subscribe to our Blog

Let’s stay in touch! Register to receive our blog updates.