[Projet] Securisation d'une solution de routage

Securisation d'une solution de routage [Projet] - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 12-06-2009 à 10:57:21    

Bonjour,  
je suis étudiant et j'ai un projet a rendre pour la fin du mois ...
(oui j'aurais pu et dû m'y prendre avant !  :sarcastic: )
 
Le sujet :
" Securisation d'une solution de routage "  
 
Rien de plus, rien de moins ...  
Auriez vous des pistes par où commencer?  :??:  
Je pensais à un déploiement d'une solution type VPN mais est-ce adapté?  
 
Merci a ceux et celles qui prendront le temps de me lire, et encore mieux, de m'aider !  ;)

Reply

Marsh Posté le 12-06-2009 à 10:57:21   

Reply

Marsh Posté le 12-06-2009 à 11:15:17    

a mon avis c'est plus securisation contre les intrusion externe
 
regarde du coté des serveurs DMZ avec 2 routeur amont/avant + proxy en sandwitch au milieu


---------------
I sit, in my desolate room, no lights, no music, Just anger, I've killed everyone, I'm away forever, but I'm feeling better,How do I feel,What do I say,Fuck you, it all goes away,
Reply

Marsh Posté le 12-06-2009 à 14:25:09    

ô_O ...
 
Si je comprend bien .. (parce que je pense ne pas avoir tout suivi..)..; un paquet qui sort de mon réseau passera par :  
PC > Routeur > serveur DMZ > routeur > proxy > WAN
 
???

Reply

Marsh Posté le 12-06-2009 à 14:43:52    

nan  
il passe par  
 
pc > routeur "interne"> serveurDMZ>routeur "externe" > WAN  
 
 
le serveur DMZ aillant un role proche d'un proxy conventionnel  
et  la triplette serveur + double routeur qui  est vu par le reseau interne comme un "simple" passerelle/routeur WAN  
 
ce système permet ( s'il est bien reglé ) que 100% du taffic entrant et sortant soit relayé par le serveur et ainsi d'empecher tout intrusion sur le reseau depuis l'exeterieur  
 
les deux reseaux se "vois', peuvent communiquer mais restent etanche l'un envers l'autre  
 
 
 
exemple : un PC fait une requete HTTP ( port 80)  la requete passe le routeur interne et est translaté en port 8080, cette requette arrive au serveur qui la renvoie vers le routeur exterieur sur port 8080 , le second routeur la retranslate en port 80  
 
bilan du point de vu interne : requete port 80 bete et mechante qui arrive sur le serveur demandé comme si de rien n'etais  
bilan de l'exterieur : un hacker tente une attaque sur le port 80 tombe ( via le premier routeur)  sur le serveur qui analyse la requete et la rejete  
en cas de problème le serveur est le seul a manger, c'est lui qui encaisse  et s'il est bien configuré il ne laisse rien passer  


---------------
I sit, in my desolate room, no lights, no music, Just anger, I've killed everyone, I'm away forever, but I'm feeling better,How do I feel,What do I say,Fuck you, it all goes away,
Reply

Marsh Posté le 12-06-2009 à 15:01:02    

Oki oki ... Merci pour ton aide ...
Donc pour chaque réseau il y'a "3 choses" a configurer ... 2 routeur + serveur DMZ ?
 
je vais essayer de m'orienter vers cette idée .. j'aurais du m'y prendre avant parce que je sens que ça pas etre du gateau ..

Reply

Marsh Posté le 12-06-2009 à 15:06:57    

c'est ca, il faut regler les 2 routeur/firwall qui cree la DMZ elle meme et le serveur tampon qui s'y trouve
 
en general le ( ou les) serveurs situé dans la DMZ gere(nt) en plus de la passerelle WEB toutes les fonctions de communitions vers l'exterieurs type mail, telechargement centralisé de MAJ pour le reseau ect  
 
 
 
 


---------------
I sit, in my desolate room, no lights, no music, Just anger, I've killed everyone, I'm away forever, but I'm feeling better,How do I feel,What do I say,Fuck you, it all goes away,
Reply

Marsh Posté le 12-06-2009 à 16:22:01    

Salut
 
Deja, il serrait bon de commencer par le début :  " Securisation d'une solution de routage "
Commence par définir les deux mots "sécusation" et "routage" et pose toi des question :
 
Pour le routage :  
 
quoi : un routeur , un ordinateur servant de passerelle....
quand : quand est utilisé un système de routage, dans qu'elles cas
coment : Protocoles de couche 3 (ipv4, ipv6) , couche 4 (TCP,UDP), couche 5 (http, ftp voip....), adressage mac, securité reseau local (802.1X) , vpn pour l'extérieur (ipsec, pptp, openvpn), identification reseau wifi (wep, wpa, radius), carte à puce EAP, DMZ, etc...
pourquoi faire : sécurisé le routage au sein du réseau
 
Tu devrais trouver pas mal de doc sur ce site web : http://2003.jres.org/archives.html
 
Sinon, va poser des questions à celui qui ta donner le sujet, car il est trop vague et mal définit (je te fais une thèse de 400 pages rien qu'avec les informations au dessus et expérience de test)
 
Apok

Reply

Marsh Posté le 12-06-2009 à 16:23:48    

Apok a écrit :

Sinon, va poser des questions à celui qui ta donner le sujet, car il est trop vague et mal définit (je te fais une thèse de 400 pages rien qu'avec les informations au dessus et expérience de test)


 
Pour ne pas dire "reformuler environ 100 % des bouquins disponibles sur Amazon sur le sujet. :o "

Reply

Marsh Posté le 12-06-2009 à 16:27:43    

Latrinite a écrit :


 
Pour ne pas dire "reformuler environ 100 % des bouquins disponibles sur Amazon sur le sujet. :o "


 
 
Nan, je pensais plutôt à Wikipedia dans mon cas  :pt1cable:

Reply

Marsh Posté le 15-06-2009 à 09:46:16    

Merci Apok pour ton message.
 
Je pense que je vais utiliser la mise en place de DMZ.
Pour faire office de routeur je pense a un pc servant de passerelle , en utilisant des OS virtuel pour simuler plusieurs postes.
 
Merci pour le lien, je vais y jeter un coup d'oeil de ce pas

Reply

Marsh Posté le 15-06-2009 à 09:46:16   

Reply

Marsh Posté le 15-06-2009 à 13:32:17    

Pensez vous que l'utilisation d'une distrib IpCop, sur une machine virtuelle peu servir pour ce genre de maquette?
 
Je suis un peu perdu je ne sais vraiment pas par ou commencer =/

Reply

Marsh Posté le 15-06-2009 à 14:25:57    

IPCop intègre déjà une déclinaison linux allégée, il me semble, virtualiser ça ne serait pas une bonne idée.

Reply

Marsh Posté le 15-06-2009 à 15:19:56    

Oui, il est sur qu'utiliser une machine dédiée est préférable mais je ne dispose pas du matériel nécessaire pour consacrer une machine uniquement a Ipcop.
Il existe une version VMWare ...
 
La vrai question est , est-ce que une maquette ou je "superviserai" le réseau grace a IpCop réponderais a ce sujet?
 
Merci

Reply

Marsh Posté le 15-06-2009 à 18:40:52    

elmarokinho a écrit :

mais je ne dispose pas du matériel nécessaire pour consacrer une machine uniquement a Ipcop.

 

C'est dans les restrictions de ton sujet d'étude ?
Sinon le fait de ne pas consacrer une machine à ce travail réduira ta note finale d'environ 20 points... :/


Message édité par Latrinite le 15-06-2009 à 18:41:47
Reply

Marsh Posté le 15-06-2009 à 21:20:15    

Non ce n'est pas dans les restrictions... Mais , pour dédier une machine ... il faut en disposer ... la pour le moment j'ai 2 PC portable a disposition 24h/24 ... donc je ne peux pas me permetre de "sacrifier" un poste pour installeur IPCOp

Reply

Marsh Posté le 15-06-2009 à 21:25:25    

et pourquoi ca ... ? tu utilise 2 ordi en meme temps toi ???????
 
de toute facon ca dmeanderai 2 cartes reseau sur une machine donc un ordi portable n'est pas le pîus indiqué  
 
tu doit faire de la theorie ou de la pratiqe ???  
parce que la pratique  de securité reseau sans le matos reseau adapté c'est comme essayer de faire de la course automobile sans acheter de pneu .........totalement con


---------------
I sit, in my desolate room, no lights, no music, Just anger, I've killed everyone, I'm away forever, but I'm feeling better,How do I feel,What do I say,Fuck you, it all goes away,
Reply

Marsh Posté le 16-06-2009 à 09:04:46    

arkrom a écrit :


 
de toute facon ca dmeanderai 2 cartes reseau sur une machine donc un ordi portable n'est pas le pîus indiqué  
 


 
C'est pour ça je peux utiliser une machine virtuelle ...
 
Et d'autre part j'ai vu IpCop doit etre installé sur un disque dur totalement vierge... je ne peux pas :/
 
Donc je vais forcément opté pour une solution qui virtualise, est-ce possible?

Reply

Marsh Posté le 16-06-2009 à 10:49:05    

Oui c' est possible, avec vmware tu peux installer un peu n'importe quoi et même isoler des machines virtuelles sur des réseaux virtuels, tu peux faire une petite maquette simulant un réseau d'entreprise.

Reply

Marsh Posté le 16-06-2009 à 14:38:02    

Bon ... Vive la scolarité, je viens d'apprendre : Etude préliminaire (plan + qques détails) à rendre le 22 JUIN ... lundi !!  :ouch:  
 
Vous l'avez compris, je suis particulierement dans la m*****
 
Si quelqu'un pouvais vraiment me donner des pistes pour avancer ce serait génial !
Merci a tous

Reply

Marsh Posté le 16-06-2009 à 15:06:02    

Un schéma classique:
Une grande entreprise, des vlan, dont un ou plusieurs réservés aux serveurs, un routeur central pour router tout ça, sa route par défaut sur le firewall du lan, accès à internet avec 2 firewall et la dmz au milieu, dans la dmz tu mets le proxy + vpn, ...

Reply

Marsh Posté le 16-06-2009 à 15:31:55    

Ok ... je vois a peu pres le schéma ..
 
Tout ça est faisable avec 2 PC et Vmware ?
Caar ça semble un peu beaucoup ...
 
Il faut au moins que j'arrive a faire un schéma tout simple pour avoir quelque chose a présenter...
 
L'étude préliminaire ( grande directives ) est a rendre ce lundi donc il faut que je soit a peu pres fixé sur ce que je vais faire ... et apres j'aurais jusqu'au 26 pour vraiment mettre en place ...  
En gros je n'ai vraiment plus de temps :'(
 
Merci pour votre aide, j'espere je vais réussir a faire au moins un "petit" truc ...

Reply

Marsh Posté le 16-06-2009 à 17:33:03    

Bon, concrètement t'as droit à combien d'ordinateurs ? [:prodigy]

Reply

Marsh Posté le 17-06-2009 à 01:58:55    

J'ai a disposition 2 PC portables sous XP , ainsi que toutes les machines virtuelles que je veux.
 
Faut vraiment j'arrive a sortir un truc, meme de base, histoire de sauvé les meubles =/

Reply

Marsh Posté le 17-06-2009 à 08:10:43    

C'est pas jouable de virtualiser tout ça, et aucun intérêt, c'est juste un schéma classique d'entreprise.
Centre ton truc plutôt sur le paramétrage du ou des firewall.

Reply

Marsh Posté le 17-06-2009 à 08:47:31    

Oki ... Donc Ipcop sur une Vmware et les 2 pc sous XP ?

Reply

Marsh Posté le 17-06-2009 à 17:50:09    

Tuxerman12 a écrit :

c'est juste un schéma classique d'entreprise.

 

Deux PC portables pour sécuriser le réseau d'une entreprise ?

 

:/


Message édité par Latrinite le 17-06-2009 à 17:50:23
Reply

Marsh Posté le 17-06-2009 à 22:15:31    

C'est juste pour faire une démo du concept pendant une présentation de 10minute, rien d'extraordinaire ... de toute maniere il serait imposible de déplacer "4 serveur, 10 postes ..." dans une salle ... Donc une petite démo toute bete de IpCop et ses fonctionnalité, voila vers quoi je m'oriente... De toute façon, si proche du but, il faut bien faire quelque chose :S

Reply

Marsh Posté le 17-06-2009 à 22:19:34    

Si tu es dans la démonstration simplifiée, tu peux quand même te permettre de faire une partoche bootable IPCop et pas juste une virtualisation. :/

Reply

Marsh Posté le 18-06-2009 à 08:00:41    

Un firewall c' est au minimum 2 cartes réseau, à moins de s' amuser à en rajouter une au portable, ce sera aussi propre et crédible de virtualiser la maquette.

Reply

Marsh Posté le 18-06-2009 à 09:13:33    

Oui voila ... En créant une partition IpCop, je "perds" une carte réseau ...  

Reply

Marsh Posté le 09-07-2009 à 10:25:05    

Donc finalement, j'ai fait une petite presentation avec 2 pc, un Ipcop en vmware... et un peu de tchatche et c'est passé ...  :)
 
Merci a vous !

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed