Audit d'architecture réseau

Audit d'architecture réseau - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 05-07-2007 à 09:22:14    

Bonjour,
 
Je fait appel à vous pour me conseiller sur les amélioration éventuels à réaliser sur le réseau actuel de mon entreprise.
 
Voici un schéma sommaire:
http://img476.imageshack.us/img476/7665/rseauxarb114ck7.jpg
 
Les postes de travail sont au nombre de 14.
 
Je pense déjà qu'il y a un problème au niveau de la sécurité internet.  :heink:  
 
Merci d'avance pour vos lumières  :hello:

Reply

Marsh Posté le 05-07-2007 à 09:22:14   

Reply

Marsh Posté le 05-07-2007 à 09:59:17    

quelle est la visibilité "publique" de la machine " server"
quelle politique de sécurité est installé sur ton modem ?
quelle politique de sécurité souhaite tu implémenter au sein de ton réseau d'entreprise?
 
de l'expression de tes besoin sécurité, tu en déduiras une architecture technique.
 
 
Bon déja, si ton "serveur" a une visibilité "publique", l'architecture est fausse. il faut implémenter la notion de DMZ.  En suite , tu dois mettre en place un composant "filtrant" permettant de gérer les flux qui circulent:
 
 - depuis tes postes de travail vers ton serveur
- depuis ton serveur vers tes postes de travail
- depuis tes postes vers internet
- depuis ton serveur vers internet
 et tous les flux rentrants.
 
ensuite, si les fonctions de tes postes de travails sont différentes, tu peux implémenter une segmentation réseau par le biaais de sous réseau différents et d'implémenter la notion de VLAN.
 
ensuite, si tuas une politique de sécurité qui implique une sécurisation des flux internet, des flux de mail ou décontamination antivirale; il te faudra une relais smtp + antirivus + antispam .
 
bref, tu peux aller très loin dans la sécurisation , mais tout dépends des presprictions de sécurité  et surtout de l'équilibre entre le confort des utilisateur, l'administration au quotidien des équipements, du niveau de sécurité....

Reply

Marsh Posté le 05-07-2007 à 10:51:56    

gizmo31 a écrit :

quelle est la visibilité "publique" de la machine " server"
quelle politique de sécurité est installé sur ton modem ?
quelle politique de sécurité souhaite tu implémenter au sein de ton réseau d'entreprise?
 
de l'expression de tes besoin sécurité, tu en déduiras une architecture technique.
 
 
Bon déja, si ton "serveur" a une visibilité "publique", l'architecture est fausse. il faut implémenter la notion de DMZ.  En suite , tu dois mettre en place un composant "filtrant" permettant de gérer les flux qui circulent:
 
 - depuis tes postes de travail vers ton serveur
- depuis ton serveur vers tes postes de travail
- depuis tes postes vers internet
- depuis ton serveur vers internet
 et tous les flux rentrants.
 
ensuite, si les fonctions de tes postes de travails sont différentes, tu peux implémenter une segmentation réseau par le biaais de sous réseau différents et d'implémenter la notion de VLAN.
 
ensuite, si tuas une politique de sécurité qui implique une sécurisation des flux internet, des flux de mail ou décontamination antivirale; il te faudra une relais smtp + antirivus + antispam .
 
bref, tu peux aller très loin dans la sécurisation , mais tout dépends des presprictions de sécurité  et surtout de l'équilibre entre le confort des utilisateur, l'administration au quotidien des équipements, du niveau de sécurité....


ouahhh, beaucoup de question ;)
 
Mon but est de sécurisé un minimum tout ca sans devoir passer son temps à administrer le tout.
 
Pour la visibilité publique de la machine serveur je ne sais pas du tout!  :??:  
 
Ce qui me gêne dans cette architecture actuel est que le le modem n'est qu'un simple modem tout bête sans firewall ni fonction routeur. Donc obligation d'installer un firewall logiciel sur chaque poste.
 
J'avais comme idée de remplacer le modem par un modem routeur firewall.
 
Ca ferait:
internet => modem => firewall => réseau internet

Reply

Marsh Posté le 05-07-2007 à 12:27:27    

c'est une première étape oui, ton modem te permet d'avoir la connexion internet, mais l'élement clé (enfin le premier!) est bien un firewall , du moins un équipement qui , au vu de la dimension de ta boite serait un boitier UTM, tu aurais déja nombre de services en une boite ( ou deux si t uveux miser sur la continuité de service -> encore une exigence de sécurité).
 
Une sécurité périmètrique est un mal nécessaire , mais la sécurité de bout en bout, typiquement jusqu'au poste de travail est aussi dans l'ère du temps .. ( firewall local + AV local + GPO)

Reply

Marsh Posté le 05-07-2007 à 13:28:08    

et utiliser un boitier regroupant les fonctions modem/firewall/routeur n'est pas conseillé?

Reply

Marsh Posté le 05-07-2007 à 13:43:59    

oui ,
 
c'est souvent le cas pour les équipements SOHO : UTM en termes de services et modem/routeur/switch pour le résezu
 
comme par exemple un SGS : Symantec Gateway Security

Reply

Marsh Posté le 05-07-2007 à 14:12:07    

en fait je voyais bien un boitier de ce type:  
 
http://www.netgear.fr/produits/pro [...] od=DGFV338
 
que je brancherais entre internet et le switch.

Reply

Marsh Posté le 05-07-2007 à 14:39:06    

as tu besoin du wifi ?
 
as tu des échanges privilégiés avec des partenaires ( pour monter un tunnel vpn par exemple ) ?

Reply

Marsh Posté le 05-07-2007 à 15:19:37    

pas besoin de wifi
 
tunnel vpn pour une connexion 3G d'ici quelques mois.

Reply

Marsh Posté le 05-07-2007 à 17:38:04    

d'où l'analyse des expressions de besoin qui doit etre bien ficelé pour couvrir parfaitement tes exigences ( à court, moyen terme)

Reply

Marsh Posté le 05-07-2007 à 17:38:04   

Reply

Marsh Posté le 05-07-2007 à 20:30:52    

dejà ton schéma est Faux, puisque tu ne peux pas etre relier à internet sans routeur...  
Sinon tout tes postes locaux chercheraient à obtenir une ip publique...
 
Donc ton modem fait forcement routeur

Reply

Marsh Posté le 05-07-2007 à 20:56:05    

fabien 1 a écrit :

ouahhh, beaucoup de question ;)
 
Mon but est de sécurisé un minimum tout ca sans devoir passer son temps à administrer le tout.
 
Pour la visibilité publique de la machine serveur je ne sais pas du tout!  :??:  
 
Ce qui me gêne dans cette architecture actuel est que le le modem n'est qu'un simple modem tout bête sans firewall ni fonction routeur. Donc obligation d'installer un firewall logiciel sur chaque poste.
 
J'avais comme idée de remplacer le modem par un modem routeur firewall.
 
Ca ferait:
internet => modem => firewall => réseau internet


 
 
Vu ton schéma c'est pas possible, y'a forcement lui ou ton serveur qui fait office de routeur. ;)

Reply

Marsh Posté le 05-07-2007 à 22:51:29    

Quand on est en entreprise on essaye de faire quelquechose de plus sécurisé...
Bon ton entreprise n'est pas très grosse, mais je partirais plus sur une base comme ca...
 
http://bartounet.bart.free.fr/images/Planreseaux/rezodmz.JPG

Reply

Marsh Posté le 05-07-2007 à 23:05:35    

double rideau de firewall pour une boite avec 14 postes de travail ?? :/


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 05-07-2007 à 23:06:47    

bah c'est un peu le but d'une dmz...
que les utilisateur n'est accès qu'au port 3128 de squid et au port 25 pour la messagerie

Reply

Marsh Posté le 05-07-2007 à 23:16:46    

avec un firewall à trois interfaces et les règles qui vont bien, on le fait aussi


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 06-07-2007 à 06:53:06    

vu le reseau, je ne pense pas qu'il y ait de visibilité publique du serveur. La DMZ me semble donc superflue... quant à squid pourquoi pas mais encore une fois un proxy pour 14 postes bof quoi. S'il ne s'agit que de bloquer les ports, le FW intégré au routeur le fera tres bien. Inutile de compliquer les choses sans raisons.

Reply

Marsh Posté le 06-07-2007 à 08:57:06    

vu son architecture,
 
un simple boitier UTM avec une port réseau réservé pour une DMZ publique suffirait ;)

Reply

Marsh Posté le 06-07-2007 à 15:44:02    

merci à vous,
 
c'est vrai que le fait que je puisse me connecter à internet avec ce seule modem m'avait un peu alerté mais vu que cela marchez j'avais pas cherché plus loin.
 
Mais j'ai fait des recherches sur internet et il s'avere que ce petit modem est une fonction routeur mais non administrable. Une fonction caché en quelque sorte.
 
J'ai un peu regardé du coté des UTM et j'en ai pas trouvé beaucoup sur Internet.  :??:  
 
Pouvez vous m'expliquer à quoi sert un(e) DMZ?
 
Merci ;)

Reply

Marsh Posté le 06-07-2007 à 19:31:54    

Salut,
 
Une DMZ sert à isoler les flux qui viennent d'un réseau considéré comme non sécurisé (en règle générale, internet) d'un réseau considéré sécurisé :D (en règle générale, ton LAN). Le but est donc de filtrer les paquets qui arrivent du réseau non sécurisé et qui sortent vers ce réseau.
 
C'est une définition assez grossière :D

Reply

Marsh Posté le 06-07-2007 à 22:54:39    

fabien 1 a écrit :

merci à vous,
 
c'est vrai que le fait que je puisse me connecter à internet avec ce seule modem m'avait un peu alerté mais vu que cela marchez j'avais pas cherché plus loin.
 
Mais j'ai fait des recherches sur internet et il s'avere que ce petit modem est une fonction routeur mais non administrable. Une fonction caché en quelque sorte.
 
J'ai un peu regardé du coté des UTM et j'en ai pas trouvé beaucoup sur Internet.  :??:  
 
Pouvez vous m'expliquer à quoi sert un(e) DMZ?
 
Merci ;)


 
 
Perso je ne me ferai pas chier hein, ton modem c'est un modem/routeur ça marche tu n'as rien besoin de plus :/

Reply

Marsh Posté le 07-07-2007 à 11:19:40    

Oui tu as raison, et puis pas de sauvegarde, pas dé sécurité,  J'ai vu des boites couler car elles avaient perdue des donées suite à une attaque, ou un crash...

Reply

Marsh Posté le 08-07-2007 à 12:36:40    

poru les UTM tu en as plein,  mais ce sont les "gros" qui déclinent pour le marché soho ..
 
regarde du coté NETASQ, ARKOON, checkpoint, juniper ,symantec..

Reply

Marsh Posté le 16-07-2007 à 17:48:36    

Bonjour
 
Une petite question:
 
- le serveur dns de mes poste est 10.211.20.5, soit l'adresse IP du serveur dns! jusque la c'est normal
- le serveur dns a des redirecteurs wanadoo pour que les poste se connectent à internet
- mon modem routeur à l'adresse 10.211.20.253
donc pour que mes postes se connectent à internet je dois mettre la passerelle 10.211.20.253 sur mes postes ET sur mon serveur.
 
mais est ce que mon serveur encours un risque en ayant comme passerelle le modem. Je veux dire par la que mon serveur ne doit pas avoir acces a internet pour ne pas chopper des vers, virus ou autre.
 
Eclairez moi svp

Reply

Marsh Posté le 16-07-2007 à 18:48:29    

Dans ta configuration actuelle le serveur a au moins besoin d'aller sur internet pour joindre les DNS de wanadoo de toute facon.

Reply

Marsh Posté le 17-07-2007 à 10:48:45    

Il n'y a pas moyen d'empecher au serveur de se connecter a internet. Quel est la configuration type à ce niveau?

Reply

Marsh Posté le 17-07-2007 à 10:57:00    

Y a tjrs moyen sur un parefeu d'autoriser le serveur a sortir uniquement sur le port udp 53 a destination des IP des DNS.
Si ta boite a les moyens moi je te conseillerai d'investir dans une appliance de sécurité d'un constructeur dont c'est la spécialité (voir les noms cités plus haut) adapté a une PME, un boitier dimensionné pour 10 /15 user fera surement l'affaire et c'est pas trés cher (compter 500 € ?).

Reply

Marsh Posté le 17-07-2007 à 15:18:32    

pour l'instant c'est pas à l'ordre du jour  
 
mais ce que je veux "juste" c'est que mes postes de travail aient accès à internet sans que le serveur ne prennent des risques inutile à se connecter à internet.
 
J'ai bien pensé à mettre comme dns sur mes postes les dns de wanadoo mais il faut garder en dns principal le serveur dns.

Reply

Marsh Posté le 19-07-2007 à 09:13:18    

un petit up

Reply

Marsh Posté le 19-07-2007 à 13:54:18    

Bah la solution c'est comme dis plus haut mettre en place un firewall qui te permettra d'être plus tranquille.

Reply

Marsh Posté le 19-07-2007 à 15:29:17    

on parle bien de materiel routeur/firewall ?
 
Avec ce type de matériel est-il necessaire/important/obligatoire que le serveur se connecte à internet?
 
Actuellement la configuration est comme ceci:
Passerelle client: 10.211.20.253
DNS principal client: 10.211.20.5 (serveur)
DNS secondaire client: 80.10.246.129 (dns de wanadoo) => sans celui ci impossible de se connecter à internet.
 

Reply

Marsh Posté le 19-07-2007 à 20:19:07    

gizmo31 a écrit :

poru les UTM tu en as plein,  mais ce sont les "gros" qui déclinent pour le marché soho ..
 
regarde du coté NETASQ, ARKOON, checkpoint, juniper ,symantec..


 
 
+ Zyxel ;)

Reply

Marsh Posté le 21-07-2007 à 10:57:12    

Rien à voir avec le réseau :
 
Au niveau système , pensez aux sauvegardes, un crash est si vite arrivé ( la catastrophe pour une boite ... ), je ne vois aucune redondance ...

Reply

Marsh Posté le 23-07-2007 à 12:00:26    

pour les sauvegardes elle se font bien.
 
faut-il un firewall logiciel pour le serveur? si oui lequel

Reply

Marsh Posté le 23-07-2007 à 12:08:06    

Ce serait réellement mieux que tu mettes un firewall à trois pattes comme signalé plus haut. Ca sera plus simple de centraliser toutes tes règles sur cet équipement et plus facile à gérer si tu étends ton réseau ...

Reply

Marsh Posté le 23-07-2007 à 13:30:30    

c'est à dire un utm? il faut que je me tourne vers qui pour cela?
 
Je sais que je suis chiant mais j'hésite encore entre un utm (pour moi c'est tout nouveau) et un boitier "plus classique" routeur/firewall.
 
Merci à vous ;)

Reply

Marsh Posté le 23-07-2007 à 16:40:26    

N'importe quel intégrateur / prestataire réseau pourra te conseiller et te vendre un UTM. Un UTM c'est juste un firewall avec qqs fonctionnalités en plus (antivirus, VPN, filtrage url etc ...).

Reply

Marsh Posté le 07-11-2007 à 11:22:52    

Bonjour à tous,
 
Je ressort ce dossier. Je dois faire l'acquisition d'une solution pour mettre en place du VPN et pour bien sur sécuriser mon réseau.  
 
Besoins:
-routeur
-firewall
-vpn
 
Comme vous me l'avez conseillé je regarde du coté des UTM et j'ai trouvé celui ci (il me semble que c'est un UTM): http://www.ldlc-pro.com/fiche/PB00026261.html (je ne sais pas s'il fait routeur)
ou avec modem
http://www.ldlc-pro.com/fiche/PB00026172.html
 
ou alors m'orienter plus vers un boitier "classique" comme celui ci:
http://www.ldlc-pro.com/fiche/PB00032863.html
ou
http://www.ldlc-pro.com/fiche/PB00018223.html
 
Merci beaucoup pour votre aide

Message cité 1 fois
Message édité par fabien 1 le 07-11-2007 à 11:43:23
Reply

Marsh Posté le 07-11-2007 à 15:07:49    

ipcop / pfsense

Reply

Marsh Posté le 07-11-2007 à 15:37:55    

fabien 1 a écrit :

pas besoin de wifi
 
tunnel vpn pour une connexion 3G d'ici quelques mois.


 

fabien 1 a écrit :

Bonjour à tous,
 
Je ressort ce dossier. Je dois faire l'acquisition d'une solution pour mettre en place du VPN et pour bien sur sécuriser mon réseau.  
 
Besoins:
-routeur
-firewall
-vpn
 
Comme vous me l'avez conseillé je regarde du coté des UTM et j'ai trouvé celui ci (il me semble que c'est un UTM): http://www.ldlc-pro.com/fiche/PB00026261.html (je ne sais pas s'il fait routeur)
ou avec modem
http://www.ldlc-pro.com/fiche/PB00026172.html
 
ou alors m'orienter plus vers un boitier "classique" comme celui ci:
http://www.ldlc-pro.com/fiche/PB00032863.html
ou
http://www.ldlc-pro.com/fiche/PB00018223.html
 
Merci beaucoup pour votre aide


 
Tu devrais jetter un oeil du côté de Sonicwall ici
 
:hello:


---------------
StatsBOINC
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed