ajout d'une autre couche de security sur openvpn

J'ai configuré un VPS qui gère le courrier, les files, jabber, etc. Tous ces services sont disponibles uniquement pour le réseau local créé par OpenVPN. Par exemple, tous les services n'écouteront que sur le sous-réseau 10.55.66.xx et ignoreront les connections des IP publiques.

Si la communication entre mes clients et le server est déjà chiffrée, est-il logique d'append un autre en-tête? Par exemple, forcer http à https, nécessitant SSL pour jabber, POP3 / IMAP, etc.? Cela me semble redondant, mais j'aimerais savoir s'il y a des considérations que je ne connais pas.

La sécurisation des services, même s'ils ne peuvent être accessibles que localement, peut être une bonne idée, surtout si vous ne pouvez pas faire confiance à tous vos users internes. Bien sûr, cela dépend de la taille de votre réseau, que vos users soient tous fiables, la sensibilité de vos données échangées, etc.

Si vous avez configuré OpenVPN afin que les clients ne puissent pas se voir (c'est-à-dire que vous n'avez pas activé "client-client"), il est probablement redondant. Même si vous l'avez activé, il est probablement redondant de toute façon, car je ne pense pas pouvoir renifler le trafic de l'autre.

D'autre part, je pense que c'est juste une bonne pratique d'activer SSL pour les autres services, car ce n'est pas trop difficile à faire. Si, quelque time à l'avenir, vous devez ouvrir l'access aux clients non-VPN, vous n'aurez pas envie de comprendre comment le faire, et vous avez espéré find des pièges pour votre configuration SSL entre maintenant et cette hypothèse avenir.