Routeur pour protéger mes serveurs - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 18-07-2016 à 15:09:56
Bonjour,
et pourquoi pas plutot un switch sur lequel tu créees 3 Vlan pour tes réseaux ?
Marsh Posté le 18-07-2016 à 15:13:55
j'aime bien le topic qui dans le titre parle de routeur, dans le contenu de firewall puis de capacité de commutation (donc de switch si on parle de commutation) ...
Marsh Posté le 18-07-2016 à 20:36:56
splinter_five0 a écrit : Bonjour, |
Bonsoir,
Si je prends un Switch L3 je ne pourrais pas autoriser ( enfin je crois .... ) le strict minimum entre mes VLAN ( ports :389, 53, 139,137,3389 etc ...)
Bêtement j'avais dans l'idée de mettre un Firewall entre mes réseaux, quand je parle de capacité de commutation j'entendais plutôt par Firewall Throughput.
zs
Marsh Posté le 19-07-2016 à 07:36:47
C'est pas vraiment un firewall mais un routeur qu'il te faut. Maintenant un switch niveau 3 fera le job comme dit plus haut.
Marsh Posté le 19-07-2016 à 10:16:16
je dirait même mieux. Un firewall est pas vraiment gage de securité
Prend un "advanced firewall"
regarde fortigate, stormshield, cisco, ils proposent cela.
Le gros probléme c'est pas plutot les accés WAN ?
Marsh Posté le 19-07-2016 à 10:57:57
Merci Skoiser, après vérification l'ANSI préconise bien un firewall pour isoler les Serveurs .
Je ne connais pas bien les équipements Fortigate , StormShield et Cisco, aurais-tu un retour d’expérience?
Merci
zs
Marsh Posté le 19-07-2016 à 11:02:10
oyoooooo
Tu peus tout à fais mettre un parefeu entre tes postes et tes serveurs ... Mais pourquoi entre les imprimantes et les postes ?
Pour scinder le réseau, un switch L2 suffira (avec les fonction basique de routage statique, généralement je les appel des switch L2+).
Si vraiment tu veux du filtrage, rajoute un firewall, mais le filtrage entre les postes et les imprimantes ... A moins de bosser pour la CIA ... Je ne vois pas d'intérêt autre que de se mettre une complexité supplémentaire.
Marsh Posté le 19-07-2016 à 11:26:44
Fortigate , StormShield et Cisco
ils ont des equipements dit UTM ou aussi appelé advanced firewall
https://fr.wikipedia.org/wiki/Unified_threat_management
Par exemple ils peuvent te faire remonter les flux qui ont des failles.
ou te bloquer les postes qui diffusent locky (ransomware).
le firewall fait uniquement OSI 4
principale fonction des UTM permet de faire une analyse protocolaire avancé.
Les utm peuvent aussi faire mutli passerelle WAN, proxy, antivirus sur les flux, gestion des accés distant via vpn ou vpn ssl, ntp, dhcp, nat, filrage smtp, filtrage url, antispam, QOS etc...
Mais il te faut un contrat de maintenance et un support solide car c'est complexe. Mais quand on maitrise bien ces solutions sont géniale.
Marsh Posté le 19-07-2016 à 13:26:42
Merci pour vos infos, avez-vous idée sur le dimensionnement du FW?
Je pense que je vais partir sur 2 firewall en redondance sans UTM pour l'instant
merci
Marsh Posté le 19-07-2016 à 20:16:43
ChaTTon2 a écrit : oyoooooo |
Bonsoir ChaTTon2, j'ai juste besoin du port 9100 entre mes serveurs d'impressions et les copieurs / imprimantes (éventuellement la page d'admin ) vu que je compte mettre un Firewall avec plusieurs Eth ... pourquoi ne pas joindre l'utile a l"agréable
Marsh Posté le 19-07-2016 à 20:26:14
ReplyMarsh Posté le 19-07-2016 à 20:55:53
ReplyMarsh Posté le 20-07-2016 à 08:55:19
zsun a écrit : |
J'ai pas dis que ce n'étais pas faisable Juste que, encore une fois selon le milieu où évolue ton entreprise, que vas-tu gagner ? Si tu ne gagnes rien (pour le business ou le confort de tes utilisateurs) je ne pense pas que ce soit un point de sécurité important.
Le premier point de piratage d'information sur une imprimante, c'est Mme Michou, responsable RH, qui lance des impressions confidentiels et qu'elle ne récupère jamais. Ces infos trainent donc dans le bac de l'imprimante. Et là on est d'accord, nous avons, par exemple, mis un système de badge sur les imprimantes qui permet :
- de sécuriser les sorties papiers
- de s'économiser les ratés d'impressions (merci la planète)
Mais franchement, le piratage de l'imprimante ... à la rigueure tu pourrais me dire que les bureaux sont fermés à clé, et c'est pour éviter qu'une personne ne se connecte à la place de l'imprimante et se retrouve sur le réseau local PC ... OK là oui, c'est drastique, mais c'est valable (j'ai le même problème en ce moment même avec des badges de porte d'un de nos sites qui sont cablés en RJ45 ... Dans la rue ...). Et crois moi, quand t'as un soucis d'impression, ca te fais un point en plus à vérifier et si tu es short en temps ... Ben c'est lourd
Marsh Posté le 20-07-2016 à 10:23:05
+1 pour chatton2
Je ne vois pas vraiment l’intérêt de sécurisé les imprimantes.
et puis admeton si il y a une faille sur le port 9100 de ton imprimante c'est pas ton firewall qui va le bloquer et empecher cela...
Marsh Posté le 23-07-2016 à 08:00:11
Bonjour,
Si tu autorises 3 ports entre ton "réseau imprimantes" et ton serveur d'impression et que tu fais des acl, je pense réellement que c'est beaucoup mieux que de laisser tout passer.
Mon interrogation portait surtout sur l'utilisation d'un FW sur mon LAN.
Merci
Marsh Posté le 24-07-2016 à 08:18:35
zsun a écrit : Bonjour, |
Je ne dis pas que c'est inutile ! Juste que dans ton contexte il faut voir ce que celà t'apporte.
Qu'est ce que tu risques à mettre tes imprimantes dans ton LAN ?
ACL+Parefeu ? Pour moi ça s'approche de plus en plus d'une usine à gaz (en toute amitié bien sur)
Marsh Posté le 24-07-2016 à 09:42:25
Pas de souci ChaTTon2 ! je me répète , le fond ma question portait plutôt sur le Firewall.
Par ailleurs j'ai décidé de faire une brocante avec mes imprimantes
Marsh Posté le 30-07-2016 à 23:52:46
Bonjour,
je te conseil un pare-feu stormshield, simple et très facile à installer pour ce type de configuration.
Fortinet aussi mais n'est pas encore validé par l'anssi. (stormshield en cours, netasq y était).
A+
Marsh Posté le 08-08-2016 à 18:41:10
Bonjour,
je connais également Stormshield, produit plutôt de qualité (normal vu le prix), pas mal de fonctionnalités pour des réseaux un peu plus complexes, support technique au top et formations intéressantes. En ce qui concerne la certification si mes infos sont bonnes les produits Stormshield sont certifiés EAL4+ ce serait le site de l'anssi qui n'est pas à jour .
J'ai également eu de bons retours de Fortinet et Sophos mais je ne les ai jamais utilisés donc je me garderai bien d'émettre un avis
Marsh Posté le 18-07-2016 à 07:47:17
Bonjour,
J'ai 20 serveurs sur le même LAN que mes postes clients (200 ) , je voudrais scinder le réseau en 3 parties:
1- un réseau pour les serveurs ( 10Gb )
2- un réseau pour les postes clients. ( 1Gb)
3- un réseau pour les imprimantes. ( 1Gb)
J'avais pensé a mettre une firewall Cisco , qu'en pensez-vous? avez-vous une piste sur le modèle que je dois installer ( capacité de commutation ) ?
Merci
zs