Bonjour les zadmins !

Je suis un petit patron. Première année, pas de souci, j'étais seul... mais là je me retrouve avec deux salariés et une quatrième personne qui vient en fin d'année  .

Je dois donc revoir mon réseau et je compose avec pas mal de matos acquis avant et utilisé pour d'autres tâches. Mais c'est de la qualité et c'est plutôt récent.

C'est un petit bureau. Tout est scanné ; on a environ 2'000 PDF entre 1 et 900 Mo (!). On travaille dessus à longueur de journée. Les besoins :

• Calendriers (pas de souci, on passe par le Cloud)
• Mail (idem)
• Annuaire (idem)
• Serveur de fichiers : ~ 1 To de données (Word, Excel, PDF, divers) + fichiers de dictaphone + dossiers de démarrage pour les machines en fixe + hébergement des logs + caméra IP de surveillance + LDAP év. pour permettre aux téléphones IP d'accéder à l'annuaire.
• Accéder aux fichiers depuis l'extérieur depuis les iMachins et depuis les portables (accès : clefs 3G).

Voici ce que j'ai prévu :

Tout ce matos, je l'ai déjà. C'est pour ça que je dois composer avec. Les téléphones IP doivent être connectés à cet endroit-là et pas à un autre – le presta doit pouvoir y accéder par Internet.

Les caractéristiques qui n'y figurent pas :

• MacOS 10.8 sur toutes les machines ou iOS 6.
• Le scan se fait sur une machine actuellement, mais bientôt sur un scanner réseau dédié.
• Connexion GBit/S, réseau 8 fils partout
• Uplink internet VDSL2 facilement augmentable si ça ne suffit pas. Si *vraiment* ça devait ne pas suffire, je peux avoir une connexion câble avec un bon uplink en plus. Le Zywall me permettrait alors de faire du load balancing.
• Back-up : toutes les semaines sur un DDE (2 en alternance), automatisé sur le NAS (2è DDE), une des machines reprend en plus les données du NAS tous les soirs pour les recopier sur un DDE double en Raid0 (programmé assez simplement avec Automator).

Mes questions, c'est :

• Remarques sur le dessin du réseau ? Est-ce qu'il faut que je fasse quelque chose de plus découpé au niveau de la zone derrière le FW ?
• Quand on est à l'extérieur, on doit pouvoir accéder aux fichiers. Je pense passer par du WebDAV. Mais les données sont plutôt sensibles. Faut-il passer par un WebDAV sécurisé ou réaliser un vrai VPN ? A noter que avec le Zywall, je peux faire un IPSec VPN assez simple (limité à cinq usagers ). Je pourrais aussi utiliser le VPN de Synology mais 1/ ça risque d'augmenter violemment les ressources utilisées sur le NAS (le SSL bouffe un max) et 2/ il ne me semble pas que regrouper NAS et VPN soit bon pour la politique de sécurité.
• Firewall hardware utile ou pas ? Est-ce que je le garde ou ça ne va que gêner le réseau ? Le problème, c'est que le modem VDSL2 vient de Swisscom. Il est pas *du tout* sécurisé (telnet ouvert, mdp style 1234, etc., en plus, Swisscom peut en prendre le contrôle à distance, bref, j'aime pas.). Il me semble qu'un FW en hard est une bonne chose pour étanchéifier ce petit monde. Pis c'est plus facile pour faire le NAT en direction du Synology. Par contre, le USG 20 est limité. Faut-il faire un peu plus attention aux tentatives d'intrusion et prendre un modèle équipé en IDS ?
• Stratégie backup en ordre ou pas ? Puis-je faire confiance à Synology ?
• Dois-je passer le PA sans-fil derrière le FW (à mon avis assez mauvaise idée, le PA est probablement le point faible au niveau de la sécurité) ou comme dessiné sur le schéma ? Ou derrière, mais dans une zone seulement à lui ?=
• Dois-je passer à un Switch dédié pour derrière le Firewall pour les performances ? Autrement dit, est-ce que les perfs vont augmenter si les deux machines de bureau n'ont pas besoin de passer par le FW pour accéder au NAS ?
• Protection par onduleur : je protège le Synology par un onduleur. Dois-je prendre avec les autres interfaces réseau ? Autrement dit, une surtension peut-elle passer par du RJ45 ?
• Quelle m**** la gestion des users sur Mac. Pour faire des users non admin, je dois faire du parental control !!!    LDAP ? ça a franchement l'air pas facile à bien mettre en œuvre sur MacOS X. OD ? Pas envie d'acheter un serveur juste pour ça. A la limite, je peux mettre les dossiers de départ de chaque utilisateur sur le NAS et, qu'ils se loguent sur une machine ou sur une autre, leur répertoire de départ restera identique. Mais c'est vraiment du bricolage. Est-ce que quelqu'un a une solution un peu plus pratique pour gérer ce type de parc ?

Merci beaucoup. C'est beaucoup de travail pour tout mettre en place et j'aimerais autant ne pas (trop) me planter  .

EDIT : pas mal d'edits au fur et à mesure que je creuse.
BONUS : quand même, ça incite pas à payer les màj quand même eux les font pas

Bonjour,
 
Je vais essayer de répondre à toutes tes questions :
 
    Pour moi il faudrait voir 2 choses, tu souhaites accéder depuis l’extérieur au NAS. Il faudrait donc pouvoir isoler le NAS virtuellement.
 
Pour l'accès à distance, je ne conseille pas le Webdav mais plûtot du FTP voir SFTP pour être sécurisé. Il existe la solution du VPN permettant une connexion dans le réseau local de l'entreprise.
 
Pour ton backup, il faut impérativement séparer physiquement les sauvegardes dans 2 lieux différents en cas de vol ou d’incendie.
 
Pour moi le PA devrait être situé derrière le pare-feu sauf si il est là pour les clients ou visiteurs. En effet le firewall bloquera l'accès au NAS et aux imprimantes, si tu configure des exceptions cela peut laisser une porte à des personnes malveillantes.
 
Pour switch dédié, si il n'est pas encore acheté oriente vers des switchs avec FW et VPN intégré (Pour l'accès à distance), il sont conçu pour être simple à mettre en place.
 
Pour les users sur MAC, je ne suis pas un spécialiste de MAC je laisserai donc une autre personne répondre plus précisement.
 
Bonne journée,

 
OK, merci.
 
Donc j'ai refait le schéma en prenant en compte les quelques remarques :
 

 
Sur mon FW, j'ai la possibilité de faire deux zones en plus d'une DMZ (trois au total, donc, vu qu'elles sont totalement paramétrables). Je laisse l'accès depuis la DMZ  au NAS ; inversement, les imprimantes seront dans la DMZ. Ca me permet d'éviter que les connexions entrantes puissent atteindre les machines.  
 
Pourquoi du SFTP et pas un accès disque classique par AFP ou SMB ? Pour éviter le VPN, si je comprends bien. Est-ce que je gagne en sécurité ou en vitesse à passer par un VPN et AFP ou SMB plutôt que par SFTP ? A priori oui ? J'ai un budget de 1'500 € si nécessaire pour un switch qui rassemblerait un bon FW et le VPN. Vers quoi m'orienter en remplacement du ZyWall ?
 
Pour le backup, les sauvegardes sur DDE sont prises à l'extérieur de l'entreprise. Je vais aussi sauver les données du NAS directement sur Amazon Glacier (avec encryptage préalable. Ca me semble être le meilleur compromis actuel pour le coût et la durabilité (normalement, pas besoin d'accéder aux données de sauvegarde). Je peux atteindre une journée si vraiment il y a un gros pépin pour que tout se remette en place.

tu devrais regarder du coté des boitiers capables de faire du vpn ssl.  
ça permet d'avoir un client vpn avec une config minimaliste et téléchargeable sur le boitier.
 
ça te permet également d'offrir un accès distant à la société qui maintient les téléphones IP et les serveurs qui vont avec.
 
il n'y a pas de surtension sur du rj45 (c'est du courant faible).
 
pour la gestion des users ça serait plus simple si le NAS pouvait également faire office de serveur ldap, mais je doute que cela soit possible.  
 
tu peux faire tourner un ldap sur l'un des macs (via openldap par ex) et authentifier tout le monde dessus, mais ça fera une conf à sauvegarder également.  
http://krypted.com/mac-os-x/starti [...] -x-client/