Nous avons un utilisateur final qui voyage et je peux voir qu’il peut se connecter au VPN depuis un pays qui n’est pas dans la liste d’autorisation. Comment est-ce possible ? Il n’y a pas d’autres politiques de groupe et j’ai vérifié le client, il n’y a pas d’exceptions pour cela.
Les règles de pare-feu de couche 7 qui bloquent certains pays n’affectent pas les connexions entrantes d’AnyConnect.
Les règles de pays en couche 7 ne s’appliquent pas aux clients VPN entrants.
Veuillez contacter le support Meraki. Assurez-vous tout d’abord que votre MX fonctionne sous la version 17.10.x ou ultérieure. Le numéro de support Meraki est le 1 (415) 937-6671. Il serait également préférable d’ouvrir d’abord un ticket dans le tableau de bord pour accéder rapidement et facilement à un ingénieur support. Il y a de fortes chances que la politique soit incorrecte, pas sur la bonne version ou qu’il s’agisse d’un bug.
Cela ne représenterait-il pas un risque de sécurité inhérent ? Je ne voudrais jamais qu’une personne de Russie ou d’autres pays puisse utiliser un VPN pour accéder.
Nous évitons la version 17 en raison de problèmes, il n’y a aucune politique en vigueur sauf celle générale et je pense que c’est très probablement un bug. J’ai ouvert un cas pour voir ce qu’ils disent. Merci.
PS j’ai oublié de préciser que Meraki utilise Maxmind pour la géolocalisation IP et que l’IP de l’utilisateur en question n’est clairement pas autorisée.
Cela n’a aucun sens de payer pour quelque chose puis de découvrir que cela ne fonctionne pas correctement ? Si j’administrais un réseau Meraki utilisant leur VPN, je voudrais savoir si c’était la norme sur leurs appareils.
Ce n’est pas vraiment le cas. Tant qu’ils n’ont pas les bons identifiants utilisateur, le MX fermera la connexion SSL. Cela apparaîtra dans le journal des événements. Je m’assurerais simplement que les utilisateurs utilisent des mots de passe solides.
MX 17 est maintenant en version RC et sera bientôt en GA. Il y a de fortes chances que MX17 résolve votre problème. Quoi qu’il en soit, le support Meraki devrait pouvoir vous aider.
Mais si les identifiants d’un utilisateur sont compromis et vendus à un acteur malveillant dans un pays où l’accès ne devrait pas être autorisé ? J’apprécie votre réponse mais ce n’est pas acceptable si c’est le cas et qu’il n’y a honnêtement aucun moyen de bloquer cela ? Surtout à l’ère des vulnérabilités zéro jour y compris AnyConnect.
Je dirais que le géoblocage n’est pas vraiment une méthode valable pour contourner cela - tout acteur malveillant compétent pourrait simplement utiliser un VPN public (ou privé) pour pénétrer aux États-Unis ou ailleurs, où il se trouve, et contourner cela.
Je dirais que la frontière de sécurité devrait être renforcée par de bonnes politiques d’identification et une MFA - MFA pour réduire l’impact du vol d’identifiants.
Cela dit, la sécurité en couches - le géoblocage est facile à contourner, mais reste une étape valable.