Windows Firewall sur connexion VPN Cisco Pix

Bonjour,

Voilà je me tourne vers vous car j'ai quelques doutes là. J'ai au préalable fais quelques recherches dans le forum et si certains sujets se rapprochaient du problème que je rencontre je n'en ai pas trouvé qui tombaient vraiment juste.

Voilà donc mon problème:

Je viens de mettre en place une GPO qui active ou désactive le pare-feu Windows selon si l'utilisateur se trouve sur le Lan ou en dehors. jusqu'ici tout va bien, les premiers tests montrent que cela fonctionne correctement.

J'ai cependant constaté que lorsque j'établissais une connexion VPN avec notre client Cisco sur le firewall pix le firewall restait actif. Il ne considère donc pas que je passe en "Domain profile".

Voilà donc où se trouve mon dilemme: Quel devrait être afin d'avoir un maximum de sécurité sans bloquer les flux une fois connecté en VPN le mode de fonctionnement à utilser pour le firewall windows sur les connexions VPN et LAN ?

Option 1: je le désactive.

Certes je suis sur que le trafic ne sera pas gêné par le firewall. Cependant une de mes interfaces reste quand même connectée sur un réseau public. Je crains qu'il soit toujours possible si cette patte est attaquée que l'intrusion se propage ensuite au réseau interne via la connexion VPN. Un autre problème de cette option est que je n'ai pas encore trouvé dans les GPO comment ne désactiver le firewall que sur une interface réseau. De ce que j'ai constaté c'est soit "portect all connections" enbaled, soit disabled.

Option 2: je le laisse actif

Là je suis sur que les flux entrants seront surveillés et bloqués si nécessaires. Cependant cela ne risque il pas d'impacter les flux sur la connexion VPN ? De même si je définis des règles pour autoriser certains ports/services/programmes ces règles seront également actives lorsque le client n'utilise qu'une connexion publique sans forcément de VPN derrière, réduisant le niveau de sécurité du poste. Sans compter les services auquel on ne pense pas forcément à l’implémentation ^^ Un autre problème est que la GPO devra être déployée sur plusieurs sites distants aux configurations hétérogènes, donc la personnalisation des points à autoriser risque de vite devenir problématique.
__________________________________________________________

Microsoft semble recommander de désactiver le firewall sur les connexions VPN, mais je suspecte qu'ils ne traitent là que de leur connexion VPN et je me demande également donc si c'est vraiment raisonnable.

Voili voilà, si vous pouviez éclairer ma lanterne ce serait super =)

Merci à vous et bonne journée à tous !

Julien