[Sécurité] Hot Spot pour accès internet limité

Hot Spot pour accès internet limité [Sécurité] - Windows & Software

Marsh Posté le 06-06-2005 à 16:33:51    

Bonjour à tous,
 
Dans le cadre d'un stage, je dois créer un réseau WiFi qui permettra aux commerciaux de l'entreprise et de l'extérieur d'accéder à Internet.
Bien sûr, il ne faut pas non plus que ce réseau soit accessible par tout le monde (afin d'éviter de voir des squatteurs sur le parking de l'entreprise qui surfent aux frais de l'entreprise).
J'ai déjà regardé un peu partout sur le net pour voir ce qu'il était possible de faire, mais je ne sais pas quelle solution conviendrait le mieux.
Nous voulons au moins mettre du cryptage WPA avec un passphrase donné à ceux qui sont autorisés à accéder a Internet (bien entendu, il faudra le changer régulièrement).
Bien sûr, Le filtrage par adresses MAC est à exclure.
Nous comptons mettre un serveur DHCP pour fournir les @IP.
 
[:athome] à tous ceux qui vont participer à mon projet.
 


---------------
Mister Tarimpa
Reply

Marsh Posté le 06-06-2005 à 16:33:51   

Reply

Marsh Posté le 06-06-2005 à 17:04:37    

[:ass_kicker57]


---------------
Mister Tarimpa
Reply

Marsh Posté le 07-06-2005 à 12:24:40    

documente toi sur un serveur radius.. :)

Reply

Marsh Posté le 07-06-2005 à 12:26:55    

Regarde les sonciwall TZ170 SP avec wifi. Ils font çà très bien.

Reply

Marsh Posté le 07-06-2005 à 12:30:49    

tiduran a écrit :

documente toi sur un serveur radius.. :)


 
Je me suis déjà documenté dessus mais je me demande si c'est utile de se compliquer la vie avec ça. Y'a peut'être plus simple. A voir...
Pour le sonciwall, je regarde ça.
 
Merci les gars


---------------
Mister Tarimpa
Reply

Marsh Posté le 07-06-2005 à 14:08:10    

Ce que je te conseille :  
1  Isoler le réseau Wifi du LAN sur une DMZ. Et ce avec un firewall que ce soit du linux, un appliance.
2  Ensuite tu monte des tunnels VPN avec ce firewall.
 
C'est la solution la plus sécurisée.  
Tu n'as même plus a te prendre la tête avec du WPA ou WEP ou quoi que ce soit. Tout paquet visible sur le réseau wifi sera crypté.

Reply

Marsh Posté le 07-06-2005 à 14:09:04    

jolebarjo a écrit :

Ce que je te conseille :  
1  Isoler le réseau Wifi du LAN sur une DMZ. Et ce avec un firewall que ce soit du linux, un appliance.
2  Ensuite tu monte des tunnels VPN avec ce firewall.
 
C'est la solution la plus sécurisée.  
Tu n'as même plus a te prendre la tête avec du WPA ou WEP ou quoi que ce soit. Tout paquet visible sur le réseau wifi sera crypté.


+1
Je lui est conseillé une appliance style sonicwall TZ170SP. Et le wifi en VPN


Message édité par wonee le 07-06-2005 à 14:09:20
Reply

Marsh Posté le 07-06-2005 à 14:28:56    

Il faut aussi penser à sécuriser tes postes clients.
Il existe des clients VPN qui intègrent un firewall (ZoneAlarm).
Il existe des boitiers qui correspondent à tes besoins.
Je te conseille le watchguard firebox edge wifi.
 
http://www.watchguard.com/products/edgex50w.asp
C'est une solution SOHO.
 
Ensuite tout dépend du budget.
Tu peut utiliser un firewall qui va directement taper dans un contrôleur de domaine (AD, LDAP).
Donc la il te faut un firewall plus costaud et une bon AP (Cisco).
 
Ensuite, il faut que tu gère les problème de roaming. Plusieurs antennes dans un même lieu.ETC ETC...
 
PS : C'est même pas drôle, ton stage il sert plus a rien.


Message édité par jolebarjo le 07-06-2005 à 14:37:31
Reply

Marsh Posté le 07-06-2005 à 15:37:14    

T'inquiète pas mon gar, mon stage il sert, car j'en apprends pas mal avec toutes vos histoires, je me renseigne sur les solutions que vous me dites.


---------------
Mister Tarimpa
Reply

Marsh Posté le 08-06-2005 à 12:28:32    

UP UP


---------------
Mister Tarimpa
Reply

Marsh Posté le 08-06-2005 à 12:28:32   

Reply

Marsh Posté le 08-06-2005 à 12:30:05    

alors t'as regardé ?
Sonicwall est à mon avis le moins cher.
mais sinon le principe est le même. La zone WLAN est isolé du LAN et l'autentification se fait en VPN.

Reply

Marsh Posté le 08-06-2005 à 13:38:05    

Oui, j'ai regardé.
Mais avec mon maitre de stage, on pensait mettre en place un petit serveur DHCP qui fasse office de firewall, sur une vlan différente du réseau actuel (pour que le reste du réseau soit inaccessible). Le tout relié au routeur internet. Nous voulons aussi mettre un cryptage WPA-PSK, de désactiver le broadcast du SSID bien sûr.
Par contre, j'aimerais avoir un peu plus d'explications sur vos solutions avec un VPN. Je ne vois pas trop l'intérêt d'un VPN.
Merci à tous.


---------------
Mister Tarimpa
Reply

Marsh Posté le 08-06-2005 à 13:48:20    

tarimpa a écrit :

Oui, j'ai regardé.
Mais avec mon maitre de stage, on pensait mettre en place un petit serveur DHCP qui fasse office de firewall, sur une vlan différente du réseau actuel (pour que le reste du réseau soit inaccessible). Le tout relié au routeur internet. Nous voulons aussi mettre un cryptage WPA-PSK, de désactiver le broadcast du SSID bien sûr.
Par contre, j'aimerais avoir un peu plus d'explications sur vos solutions avec un VPN. Je ne vois pas trop l'intérêt d'un VPN.
Merci à tous.


Et bien les cryptages pour le wifi sont trop facilement détournables donc le VPN est le mieux pour les clients wifis.
C'est pas en désactivant le SSID et en mettant du wpa-pask que ce sera bien sécurisé. çà c'est pour un particulier par pour du pro.
La solution vpn est à mon avis la mieus adapté par rapport à une solution avec serveur raduis.

Reply

Marsh Posté le 08-06-2005 à 16:52:58    

Je voudrais savoir où se place le VPN dans le réseau ?
Entre le point d'accès et le client WiFi ?


---------------
Mister Tarimpa
Reply

Marsh Posté le 08-06-2005 à 16:56:17    

Non c'est le firewall qui identifie le client vpn. et le point wifi peut être sur le firewall comme sur le lan.


Message édité par wonee le 08-06-2005 à 16:58:07
Reply

Marsh Posté le 08-06-2005 à 17:57:04    

ben si tu met ton point wifi sur le lan, les mecs du parking pourront acceder directement au LAN. Pas bonne cette solution.
 
Il faut un firewall qui fait serveur VPN.
Tu isole le Wifi du LAN par ce firewall.
ensuite tu établie du VPN entre le client wifi et le firewall.
 
Le VPN permet de s'abroger des cryptages WIFI qui sont moyennement sécurisés. De plus, avec cette solution je veux bien voir quelqu'un te pirater ou acceder à internet avec des SA qui change toutes les 5 mins.
Cependant, il faut absolument des firewalls sur les postes des commerciaux.
 
Schéma :
 
 
LAN----Firewall VPN-----AP Wifi
          |
      Internet
 
 
J'ai du mal à comprendre pourquoi un DHCP sur vlan fait office de firewall. Si tu veut que tes commerciaux en Wifi accèdent à Internet, il va bien falloir que ton Vlan DHCP communique avec un autre VLAN.


Message édité par jolebarjo le 08-06-2005 à 17:58:46
Reply

Marsh Posté le 09-06-2005 à 14:18:39    

En fait, on va créer un nouveau VLan, de type 192.168.13.x
Voici un petit shéma, j'espère que vous arriverez a le comprendre car c'est pas évident a dessiner sur les forums.
 
                                Switch
Internet-----Routeur-----10
                     |             11
                     |             13-------------------APs
                     |                    |
                     |             Serveur DHCP
                     |                Firewall
                     |                    |
                      ---------------
A noter que le switch permet d'interdir au réseau 13 toute communication avec les autres (le 10 et  le 11).
Si vous avez des suggestions, modifiez mon semblant de shéma.
[:athome]


---------------
Mister Tarimpa
Reply

Marsh Posté le 09-06-2005 à 14:29:48    

C'est un routeur firewall??

Reply

Marsh Posté le 09-06-2005 à 16:18:57    

Non, c'est un simple routeur fournis par le FAI (C'est un MCI).


Message édité par tarimpa le 09-06-2005 à 16:20:31

---------------
Mister Tarimpa
Reply

Marsh Posté le 09-06-2005 à 17:45:53    

c'est moyen ton architecture.
 
il te faudrait :  
 
 
internet--routeur---firewall----lan-----firewall----ap
 
ou
internet--routeur---firewall----lan
                           |
                           |
                       AP wifi


Message édité par jolebarjo le 09-06-2005 à 17:46:35
Reply

Marsh Posté le 10-06-2005 à 08:42:59    

Pour ta première solution, je ne vois pas l'intérêt des deux firewalls, un seul suffit, non ?
Ta seconde solution est ni plus ni moins identique avec ce que j'ai mis au dessus.
A deux choses près, tu n'as pas représenté mes lans 10 et 11 ainsi que le DHCP.
Merci


---------------
Mister Tarimpa
Reply

Marsh Posté le 10-06-2005 à 09:48:47    

L'intérêt des 2 firewalls est d'avoir pour l'AP un filtrage de s connections (authentification) et de donner un accès à un nombre de ports plus limités que ceux utilisés dans le lan interne à la boite
le firewall d'internet protège le lan interne d'internet et le nombre de ports ouverts peut être différent de celui de l'AP voire de n'autoriser aucune connection externe.
SGDA

Reply

Marsh Posté le 10-06-2005 à 11:28:15    

Ah ok
[:athome]


Message édité par tarimpa le 10-06-2005 à 11:29:50

---------------
Mister Tarimpa
Reply

Marsh Posté le 10-06-2005 à 14:09:05    

Pour moi l'interet de 2 firewalls peut venir si tu as des problèmes géographiques pour amener ton réseau Wifi jusqu'au firewall.
 
Sinon, un firewall type arkoon, watchguard peut très bien gerer des users venant de 2 interfaces différentes.
Un firewall digne de cenom peut gerer indifférement les flux venant de ses différentes interfaçes.
 
Je n'ai pas representé les vlans, car c'est juste des réseaux "physiquement" differents. Donc s'ils sont divisés par des FW cela n'as pas d'interet.


Message édité par jolebarjo le 10-06-2005 à 14:14:22
Reply

Marsh Posté le 13-06-2005 à 08:50:38    

J'aurais aimé vous interroger une dernière fois, promis je vous laisse tranquille après.
A quoi sert le VPN dans un réseau WiFi ?
C'est juste pour crypter ?


---------------
Mister Tarimpa
Reply

Marsh Posté le 13-06-2005 à 09:18:24    

tarimpa a écrit :

J'aurais aimé vous interroger une dernière fois, promis je vous laisse tranquille après.
A quoi sert le VPN dans un réseau WiFi ?
C'est juste pour crypter ?


C'est le moyen de s'autentifier et c'est bcp plus sur et fiable

Reply

Marsh Posté le 13-06-2005 à 12:02:58    

OK Merci bien


---------------
Mister Tarimpa
Reply

Marsh Posté le 13-06-2005 à 12:05:44    

J'aurais dit que c'est plus du cryptage que de l'authentification.
SGDA

Reply

Marsh Posté le 13-06-2005 à 13:07:30    

joel_ejc a écrit :

J'aurais dit que c'est plus du cryptage que de l'authentification.
SGDA


c'est les 2 !!!!!

Reply

Marsh Posté le 13-06-2005 à 13:13:24    

Je n'ai pas dit l'inverse
SGDA

Reply

Marsh Posté le 13-06-2005 à 13:14:08    

joel_ejc a écrit :

Je n'ai pas dit l'inverse
SGDA


 [:tom18]

Reply

Marsh Posté le 13-06-2005 à 16:04:36    

Le processus d'authentification est aussi crypté.
Le VPN permet le AAA comme un cisco.
Authentification, Authorization et Accounting.

Reply

Marsh Posté le 13-06-2005 à 17:32:05    

Une autre question à ceux qui connaissent un peu le RADIUS
Est-ce que toutes les cartes WiFi peuvent servir a s'authentifier sur un serveur RADIUS. Ou il faut des cartes spécifiques.
Merci d'avance


---------------
Mister Tarimpa
Reply

Marsh Posté le 14-06-2005 à 16:30:27    

Vous êtes sûrs que les VPN ne posent pas de problème pour les commerciaux extérieurs ? Il faut que le VPN soit configuré sur chaque poste, non ?
Il me semble que le truc qu'il lui faut c'est plus une passerelle hotspot...

Reply

Marsh Posté le 14-06-2005 à 16:48:13    

Oui, tu as raison, avec le VPN, il faudrai faire une manip sur chaque poste. Ce n'est pas envisageable pour un partage d'internet avec des nouveaux postes chaque jour.


---------------
Mister Tarimpa
Reply

Marsh Posté le 14-06-2005 à 16:54:07    

Pour le VPN, c'est assez simple.
Il faut installer le client et fournir un fichier de préconfiguration

Reply

Marsh Posté le 14-06-2005 à 16:56:37    

Sinon tu peut regarder de ce coté la.
http://www.infogiciel.info/article0091.html.
et la aussi :  
http://www.publicip.net/zonecd/how.php
 
Mais tu n'auras pas de sécu entre les postes de ton wifi.


Message édité par jolebarjo le 14-06-2005 à 16:57:58
Reply

Marsh Posté le 14-06-2005 à 17:02:27    

jolebarjo a écrit :

Pour le VPN, c'est assez simple.
Il faut installer le client et fournir un fichier de préconfiguration


J'en suis pas sûr, mais je ne pense pas qu'il puisse se permettre de toucher aux postes utilisateurs, même pour une toute petite modif.
 
 
internet -- routeur/firewall -- lan
                   |
                   |-- passerelle hotspot -- APs
 
Nomadix pour la passerelle hotspot. ;)

Reply

Marsh Posté le 14-06-2005 à 17:25:27    

Nomadix c'est payant.
Il y a des solutions libres toutes prêtes.

Reply

Marsh Posté le 17-06-2005 à 10:29:55    

Ok Merci
Sous linux suse enterprise server 9, j'ai configuré un DHCP.
J'aurais besoin de planifier ce DHCP pour qu'il se lance uniquement entre 8h et 20h du lundi au vendredi pour éviter que des gens essayent de se connecter le Week-End ou la nuit.
J'ai vu sur ce topic qu'il était possible de planifier une tâche : http://forum.hardware.fr/hardwaref [...] 1132-1.htm  
Est-ce que quelqu'un sait quel est le nom du processus du DHCP ?
Merci d'avance


---------------
Mister Tarimpa
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed